PT-2024-4676 · Apache+9 · Apache Http Server+9

Marc Stern

·

Publicado

2024-05-27

·

Atualizado

2025-08-13

·

CVE-2024-36387

CVSS v3.1

5.4

Média

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L
Nome do software vulnerável e versões afetadas:
Apache HTTP Server (versões afetadas não especificadas)
Descrição:
O problema está relacionado ao tratamento de atualizações do protocolo WebSocket em uma conexão HTTP/2, o que pode resultar em uma referência a um ponteiro nulo. Isso pode causar uma falha no processo do servidor e prejudicar o desempenho. A vulnerabilidade pode ser explorada por um invasor remoto para causar uma negação de serviço.
Recomendações:
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Exploit

NULL Pointer Dereference

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-476

Identificadores relacionados

ALSA-2024:8680
ALT-PU-2024-10005
ALT-PU-2024-10192
ALT-PU-2024-10221
ALT-PU-2024-10223
ALT-PU-2024-9738
ALT-PU-2024-9895
ALT-PU-2024-9963
ALT-PU-2024-9971
AZL-43089
AZL-43119
BDU:2024-05194
BIT-APACHE-2024-36387
CVE-2024-36387
DSA-5729-1
INFSA-2024_8680
MGASA-2024-0258
OESA-2024-1847
OESA-2024-1854
OPENSUSE-SU-2024:14116-1
OPENSUSE-SU-2024_2597-1
RHSA-2024:8680
RHSA-2024_8680
RHSA-2025:3452
RLSA-2024:8680
SUSE-SU-2024:2597-1
USN-6885-1
USN-6885-2
USN-6885-4
USN-6885-6

Produtos afetados

Alt Linux
Almalinux
Apache Http Server
Astra Linux
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu