PT-2022-3372 · Apache+10 · Apache Http Server+10
Régis Leroy
·
Publicado
2022-06-08
·
Atualizado
2026-03-10
·
CVE-2022-31813
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões 2.4.53 e anteriores do Apache HTTP Server
Descrição
O problema está relacionado ao módulo mod proxy do Apache HTTP Server, que pode não processar corretamente os cabeçalhos X-Forwarded-* com base no mecanismo hop-by-hop do cabeçalho Connection do lado do cliente. Isso poderia permitir que um invasor remoto contornasse a autenticação baseada em IP no servidor de origem ou na aplicação.
Recomendações
Para as versões 2.4.53 e anteriores do servidor HTTP Apache, considere atualizar para uma versão que inclua a correção para este problema, pois a versão atual pode não enviar os cabeçalhos X-Forwarded-* ao servidor de origem com base no mecanismo hop-by-hop do cabeçalho Connection do lado do cliente, permitindo potencialmente a contornar a autenticação baseada em IP.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Insufficient Verification of Data Authenticity
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Apache Http Server
Astra Linux
Centos
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu