PT-2022-3356 · Apache+10 · Apache Http Server+10
Ricter Z
·
Publicado
2022-03-02
·
Atualizado
2025-09-29
·
CVE-2022-26377
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Servidor HTTP Apache versões 2.4.53 e anteriores
Descrição
A vulnerabilidade está relacionada à interpretação inconsistente de solicitações HTTP, também conhecida como “HTTP Request Smuggling”, no módulo mod proxy ajp do Servidor HTTP Apache. Isso permite que um invasor encaminhe secretamente solicitações para o servidor AJP ao qual o servidor HTTP Apache redireciona as solicitações. A exploração desse problema pode permitir que um invasor remoto envie uma solicitação HTTP especialmente criada para o servidor e redirecione solicitações para o servidor AJP. Não há informações sobre o número estimado de dispositivos potencialmente afetados em todo o mundo ou incidentes reais em que esse problema tenha sido explorado.
Recomendações
Para as versões 2.4.53 e anteriores do servidor HTTP Apache, atualize para uma versão que contenha uma correção para esta vulnerabilidade.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Out of bounds Read
Integer Overflow
Allocation of Resources Without Limits
HTTP Request/Response Smuggling
Insufficient Verification of Data Authenticity
Information Disclosure
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Apache Http Server
Astra Linux
Centos
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu