CVE-2024-38476

Nome do software vulnerável e versões afetadas:

Servidor HTTP Apache versões 2.4.59 e anteriores

Descrição:

O problema está relacionado ao núcleo do Apache HTTP Server, onde cabeçalhos de resposta maliciosos ou exploráveis provenientes de aplicativos de back-end podem levar à divulgação de informações, à falsificação de solicitações do lado do servidor (SSRF) ou à execução de scripts locais. Isso pode ser explorado por um invasor para executar código arbitrário por meio de redirecionamento interno. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado. Não há informações sobre incidentes reais em que esse problema tenha sido explorado.

Recomendações:

Para resolver o problema, recomenda-se que os usuários atualizem para a versão 2.4.60, que corrige essa falha. Como solução temporária, considere restringir o acesso a aplicativos de back-end cujos cabeçalhos de resposta sejam maliciosos ou exploráveis até que a atualização seja aplicada. Evite usar a funcionalidade central vulnerável do servidor HTTP Apache até que o problema seja resolvido.