PT-2025-29117 · Apache+11 · Apache Http Server+11

Felix Cramer

+4

·

Publicado

2024-11-25

·

Atualizado

2026-03-10

·

CVE-2025-23048

CVSS v2.0

9.4

Crítica

VetorAV:N/AC:L/Au:N/C:C/I:C/A:N
Nome do Software Vulnerável e Versões Afetadas: Apache HTTP Server versões 2.4.35 a 2.4.63
Descrição: Em certas configurações do mod ssl, é possível contornar o controle de acesso para clientes confiáveis utilizando a retomada de sessão TLS 1.3. Isso ocorre quando o mod ssl está configurado para múltiplos virtual hosts, cada um restrito a um conjunto diferente de certificados de cliente confiáveis, e SSLStrictSNIVHostCheck não está habilitado em nenhum dos virtual hosts.
Recomendações: Apache HTTP Server versões 2.4.35 a 2.4.63: Habilite SSLStrictSNIVHostCheck em todas as configurações de virtual host.

Exploit

Correção

Improper Access Control

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-284

Identificadores relacionados

ALSA-2025:15023
ALSA-2025:15095
ALSA-2025:15123
ALSA-2025_15023
ALSA-2025_15123
ALT-PU-2025-9373
ALT-PU-2025-9540
ALT-PU-2025-9924
AZL-65163
AZL-65223
BDU:2025-08976
BIT-APACHE-2025-23048
CESA-2025_15123
CVE-2025-23048
DLA-4270-1
INFSA-2025_15023
INFSA-2025_15123
MGASA-2025-0301
OESA-2025-2168
OESA-2025-2169
OESA-2025-2170
OESA-2025-2171
OESA-2025-2172
OESA-2025-2278
OPENSUSE-SU-2025:15360-1
OPENSUSE-SU-2026:20810-1
RHSA-2025:13680
RHSA-2025_15023
RHSA-2025_15123
SUSE-SU-2025:02565-1
SUSE-SU-2025:02682-1
SUSE-SU-2025:02683-1
SUSE-SU-2025:02684-1
SUSE-SU-2025:02685-1
SUSE-SU-2025_02565-1
SUSE-SU-2025_02682-1
SUSE-SU-2025_02683-1
SUSE-SU-2025_02684-1
SUSE-SU-2025_02685-1
SUSE-SU-2026:21846-1
USN-7639-1
USN-7639-2

Produtos afetados

Alt Linux
Almalinux
Apache Http Server
Astra Linux
Centos
Debian
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu