PT-2021-5758 · Apache+9 · Apache Http Server+9
Clusterfuzz
·
Publicado
2021-08-04
·
Atualizado
2025-05-01
·
CVE-2021-39275
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Servidor HTTP Apache versões 2.4.48 e anteriores
Descrição
O problema está relacionado à função
ap escape quotes(), que pode gravar além do fim de um buffer quando recebe uma entrada maliciosa. Embora nenhum módulo incluído passe dados não confiáveis para essas funções, módulos de terceiros ou externos podem fazê-lo. Isso poderia permitir que um invasor remoto acessasse dados confidenciais, comprometesse sua integridade e causasse uma negação de serviço.Recomendações
Para as versões 2.4.48 e anteriores do Servidor HTTP Apache, considere desativar a função
ap escape quotes() até que um patch esteja disponível para evitar possíveis problemas de estouro de buffer. Além disso, restrinja o uso de módulos de terceiros ou externos que possam passar dados não confiáveis para essa função, a fim de minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
Memory Corruption
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Apache Http Server
Astra Linux
Centos
Linuxmint
Red Hat
Rocky Linux
Suse
Ubuntu