PT-2022-6218 · Apache+10 · Apache Http Server+10

Zeddyu_Lu

·

Publicado

2022-07-12

·

Atualizado

2026-02-25

·

CVE-2022-36760

CVSS v2.0

10

Crítica

VetorAV:N/AC:L/Au:N/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas
Servidor HTTP Apache versões 2.4.54 e anteriores
Descrição
O problema está relacionado à interpretação inconsistente de solicitações HTTP, também conhecida como “HTTP Request Smuggling”, no módulo mod proxy ajp do Servidor HTTP Apache. Isso permite que um invasor envie solicitações não autorizadas ao servidor AJP para o qual o módulo encaminha as solicitações. A vulnerabilidade está associada a falhas no processamento do cabeçalho Transfer-Encoding.
Recomendações
Para as versões 2.4.54 e anteriores do Apache HTTP Server, atualize para uma versão que inclua a correção para este problema.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Exploit

HTTP Request/Response Smuggling

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-444

Identificadores relacionados

ALSA-2023:0852
ALSA-2023:0970
ALT-PU-2023-1165
ALT-PU-2023-1189
ALT-PU-2023-1260
ALT-PU-2023-1380
AZL-13027
BDU:2023-00495
BIT-APACHE-2022-36760
CESA-2023_0852
CVE-2022-36760
DLA-3351-1
DSA-5376-1
MGASA-2023-0032
OESA-2023-1052
OPENSUSE-SU-2023_0322-1
OPENSUSE-SU-2024:12635-1
RHSA-2023:0852
RHSA-2023:0970
RHSA-2023:4629
RHSA-2023_0852
RHSA-2023_0970
RLSA-2023:0852
RLSA-2023:0970
SUSE-SU-2023:0183-1
SUSE-SU-2023:0185-1
SUSE-SU-2023:0294-1
SUSE-SU-2023:0321-1
SUSE-SU-2023:0322-1
USN-5834-1
USN-5839-1

Produtos afetados

Alt Linux
Almalinux
Apache Http Server
Astra Linux
Centos
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu