PT-2021-3578 · Apache+9 · Apache Http Server+9

Christoph Anton

+4

·

Publicado

2021-04-14

·

Atualizado

2024-03-06

·

CVE-2021-30641

CVSS v3.1

5.3

Média

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
Nome do software vulnerável e versões afetadas
Servidor HTTP Apache, versões 2.4.39 a 2.4.46
Descrição
A vulnerabilidade existe devido a uma validação insuficiente de entradas no Servidor HTTP Apache. A exploração dessa vulnerabilidade pode permitir que um invasor remoto comprometa a integridade de informações protegidas. O problema está relacionado a um comportamento inesperado de correspondência quando a opção ‘MergeSlashes OFF’ está ativada.
Recomendações
Para as versões 2.4.39 a 2.4.46 do Apache HTTP Server, atualize para uma versão que corrija o comportamento de correspondência inesperado com ‘MergeSlashes OFF’.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

RCE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-20

Identificadores relacionados

ALSA-2021:4257
ALT-PU-2021-1838
ALT-PU-2021-2035
ALT-PU-2021-2339
AZL-6478
BDU:2021-03680
BIT-APACHE-2021-30641
CESA-2021_4257
CVE-2021-30641
DLA-2706-1
DSA-4937-1
MGASA-2021-0265
OESA-2021-1246
OPENSUSE-SU-2021:0908-1
OPENSUSE-SU-2021:2127-1
OPENSUSE-SU-2021_0908-1
OPENSUSE-SU-2021_2127-1
RHSA-2021:4257
RHSA-2021:4614
RHSA-2021_4257
RLSA-2021:4257
SUSE-SU-2021:14749-1
SUSE-SU-2021:2004-1
SUSE-SU-2021:2006-1
SUSE-SU-2021:2127-1
SUSE-SU-2021_14749-1
USN-4994-1
USN-4994-2

Produtos afetados

Alt Linux
Almalinux
Apache Http Server
Astra Linux
Centos
Linuxmint
Red Hat
Rocky Linux
Suse
Ubuntu