Mattias Åsander

**Nome do Software Vulnerável e Versões Afetadas** Apache HTTP Server versões 2.4.0 a 2.4.65 **Descrição** Existe uma vulnerabilidade no Apache HTTP Server na qual a neutralização inadequada de sequências de escape, meta ou de controle pode ocorrer por meio de variáveis de ambiente definidas via configuração do Apache. Isso permite a substituição inesperada de variáveis calculadas pelo servidor para programas CGI. A questão afeta o tratamento de programas CGI e suas variáveis de ambiente. Não foram fornecidas informações sobre o número de dispositivos potencialmente afetados ou sobre quaisquer incidentes reais onde essa vulnerabilidade foi explorada. A vulnerabilidade envolve a manipulação de variáveis de ambiente utilizadas por programas CGI, podendo levar a comportamento inesperado ou execução de código. Especificamente, variáveis de ambiente configuradas na configuração do Apache podem sobrescrever aquelas calculadas pelo próprio servidor. **Recomendações** Atualize para a versão 2.4.66 para resolver o problema.

**Nome do Software Vulnerável e Versões Afetadas** Apache HTTP Server versões 2.4.7 a 2.4.65 **Descrição** Existe uma falha no Apache HTTP Server na qual é possível contornar o mod userdir+suexec através da funcionalidade AllowOverride FileInfo. Indivíduos com a capacidade de utilizar a diretiva `RequestHeader` dentro de um arquivo htaccess podem potencialmente fazer com que scripts CGI sejam executados sob um ID de usuário não pretendido. **Recomendações** Atualize para a versão 2.4.66 para resolver este problema.