PT-2024-5594 · Apache+6 · Apache Http Server+6

Eric Covener

·

Publicado

2024-07-03

·

Atualizado

2025-11-11

·

CVE-2024-39884

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:C/I:N/A:N
Nome do software vulnerável e versões afetadas
Apache HTTP Server versão 2.4.60
Descrição
Uma regressão no núcleo do Apache HTTP Server 2.4.60 ignora alguns usos da configuração legada de manipuladores baseada no tipo de conteúdo. A configuração “AddType” e similares, em algumas circunstâncias em que os arquivos são solicitados indiretamente, resultam na divulgação do código-fonte do conteúdo local. Por exemplo, scripts PHP podem ser servidos em vez de interpretados. Estima-se que mais de 9.500 serviços estejam potencialmente afetados.
Recomendações
Para resolver o problema, atualize para a versão 2.4.61, que corrige essa falha. Como solução temporária, considere restringir o acesso à configuração AddType para minimizar o risco de exploração. Evite usar a diretiva AddType nos pontos de extremidade da API afetados até que o problema seja resolvido.

Exploit

Correção

Information Disclosure

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-200

Identificadores relacionados

ALT-PU-2024-10005
ALT-PU-2024-10192
ALT-PU-2024-10223
ALT-PU-2024-9738
AZL-43170
AZL-43174
BDU:2024-06280
BIT-APACHE-2024-39884
CVE-2024-39884
DLA-3921-1
DSA-5729-2
MGASA-2024-0258
OPENSUSE-SU-2024:14116-1
OPENSUSE-SU-2024_3172-1
OPENSUSE-SU-2024_3173-1
SUSE-SU-2024:3061-1
SUSE-SU-2024:3172-1
SUSE-SU-2024:3173-1
SUSE-SU-2024_3061-1
SUSE-SU-2025:02241-1
SUSE-SU-2025_02241-1
USN-6885-1
USN-6885-2
USN-6885-4
USN-6885-6

Produtos afetados

Alt Linux
Apache Http Server
Astra Linux
Linuxmint
Red Os
Suse
Ubuntu