PT-2024-4830 · Apache+2 · Apache Http Server+2

Orange Tsai

·

Publicado

2024-07-01

·

Atualizado

2025-08-12

·

CVE-2024-38472

CVSS v2.0

9.0

Alta

VetorAV:N/AC:L/Au:S/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas:
Versões do Apache HTTP Server anteriores à 2.4.60
Descrição:
O problema está relacionado à falsificação de solicitações do lado do servidor (SSRF) no Apache HTTP Server no Windows, o que pode potencialmente vazar hashes NTLM para um servidor malicioso por meio de SSRF e solicitações ou conteúdos maliciosos. As configurações existentes que acessam caminhos UNC deverão configurar a nova diretiva “UNCList” para permitir o acesso durante o processamento da solicitação.
Recomendações:
Para resolver o problema, recomenda-se que os usuários atualizem para a versão 2.4.60, que corrige essa falha.
As configurações existentes que acessam caminhos UNC devem configurar a nova diretiva “UNCList” para permitir o acesso durante o processamento da solicitação.

Exploit

Correção

SSRF

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-918

Identificadores relacionados

ALSA-2024_4720
ALSA-2024_4726
ALSA-2024_5138
ALSA-2024_5193
ALSA-2024_8680
ALT-PU-2024-10005
ALT-PU-2024-10192
ALT-PU-2024-10223
ALT-PU-2024-9738
BDU:2024-05354
BIT-APACHE-2024-38472
CVE-2024-38472
OPENSUSE-SU-2024:14116-1

Produtos afetados

Alt Linux
Apache Http Server
Red Os