PT-2025-29116 · Apache+11 · Apache Http Server+11

John Runyon

·

Publicado

2024-09-18

·

Atualizado

2026-05-28

·

CVE-2024-47252

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:C/A:N
Nome do Software Vulnerável e Versões Afetadas: Versões do Apache HTTP Server anteriores a 2.4.63
Descrição: O escapeamento insuficiente de dados fornecidos pelo usuário no módulo mod ssl pode permitir que um cliente SSL/TLS não confiável insira caracteres de escape em arquivos de log sob determinadas configurações. Isso ocorre ao utilizar CustomLog com "%{varname}x" ou "%{varname}c" para registrar variáveis fornecidas pelo mod ssl, como SSL TLS SNI, sem a devida sanitização.
Recomendações: Atualize para uma versão do Apache HTTP Server posterior a 2.4.63.

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-150

Identificadores relacionados

ALSA-2025:15023
ALSA-2025:15095
ALSA-2025:15123
ALT-PU-2025-9373
ALT-PU-2025-9540
ALT-PU-2025-9924
AZL-65172
AZL-65226
BDU:2025-08958
BIT-APACHE-2024-47252
CESA-2025_15123
CVE-2024-47252
DLA-4270-1
INFSA-2025_15023
INFSA-2025_15123
MGASA-2025-0301
OESA-2025-2168
OESA-2025-2169
OESA-2025-2170
OESA-2025-2171
OESA-2025-2172
OESA-2025-2278
OPENSUSE-SU-2025:15360-1
OPENSUSE-SU-2026:20810-1
RHSA-2025:13680
RHSA-2025:14901
RHSA-2025:14902
RHSA-2025:14903
RHSA-2025:14997
RHSA-2025:15023
RHSA-2025:15095
RHSA-2025:15123
RHSA-2025:15516
RHSA-2025:15619
RHSA-2025:15684
RHSA-2025:15698
RHSA-2025_15023
RHSA-2025_15123
SUSE-SU-2025:02565-1
SUSE-SU-2025:02682-1
SUSE-SU-2025:02683-1
SUSE-SU-2025:02684-1
SUSE-SU-2025:02685-1
SUSE-SU-2025_02565-1
SUSE-SU-2025_02682-1
SUSE-SU-2025_02683-1
SUSE-SU-2025_02684-1
SUSE-SU-2025_02685-1
SUSE-SU-2026:21846-1
USN-7639-1
USN-7639-2
USN-8338-1

Produtos afetados

Alt Linux
Almalinux
Apache Http Server
Astra Linux
Centos
Debian
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu