PT-2021-5273 · Apache+10 · Apache Http Server+10

Fabian Meumertzheim

·

Publicado

2021-04-26

·

Atualizado

2025-05-01

·

CVE-2021-36160

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:N/A:C
Nome do software vulnerável e versões afetadas
Servidor HTTP Apache, versões 2.4.30 a 2.4.48
Descrição
Um caminho URI de solicitação cuidadosamente elaborado pode fazer com que o mod proxy uwsgi leia além da memória alocada e trave, resultando em uma negação de serviço (DoS). O problema está relacionado à função mod proxy uwsgi no servidor HTTP Apache, que permite que um invasor remoto explore a vulnerabilidade enviando uma solicitação com um caminho URI especialmente elaborado.
Recomendações
Para as versões 2.4.30 a 2.4.48 do servidor HTTP Apache, atualize para uma versão que inclua a correção para este problema.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Exploit

DoS

Out of bounds Read

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-125

Identificadores relacionados

ALSA-2022:1915
ALT-PU-2021-2866
ALT-PU-2021-2972
ALT-PU-2021-3037
ALT-PU-2021-3060
AZL-6485
BDU:2021-06099
BIT-APACHE-2021-36160
CESA-2022_1915
CVE-2021-36160
DLA-2768-1
DLA-2768-2
DSA-4982-1
MGASA-2021-0439
OESA-2021-1369
OPENSUSE-SU-2021:1438-1
OPENSUSE-SU-2021:3522-1
OPENSUSE-SU-2021_1438-1
OPENSUSE-SU-2021_3522-1
RHSA-2022:1915
RHSA-2022:6753
RHSA-2022:7143
RHSA-2022_1915
RLSA-2022:1915
SUSE-SU-2021:3335-1
SUSE-SU-2021:3522-1
USN-5090-1
USN-5090-3
USN-5090-4

Produtos afetados

Alt Linux
Almalinux
Apache Http Server
Astra Linux
Centos
Debian
Linuxmint
Red Hat
Rocky Linux
Suse
Ubuntu