PT-2025-49181 · Apache+10 · Apache Http Server+10

Anthony Parfenov

·

Publicado

2025-01-01

·

Atualizado

2026-05-28

·

CVE-2025-58098

CVSS v2.0

8.7

Alta

VetorAV:N/AC:L/Au:S/C:C/I:C/A:P
Nome do Software Vulnerável e Versões Afetadas Versões do Apache HTTP Server anteriores a 2.4.66
Descrição O Apache HTTP Server, quando configurado com Server Side Includes (SSI) habilitado e utilizando mod cgid (mas não mod cgi), manipula incorretamente strings de consulta com escape de shell passadas para diretivas #exec cmd="...". Isso pode levar à execução de comandos. O problema ocorre quando o servidor passa a string de consulta com escape de shell para o atributo cmd dentro da diretiva #exec.
Recomendações Atualize para a versão 2.4.66 ou posterior.

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-201

Identificadores relacionados

ALSA-2025:23732
ALSA-2025:23919
ALSA-2025:23932
AZL-71860
AZL-71867
BDU:2025-15635
BIT-APACHE-2025-58098
CVE-2025-58098
MGASA-2025-0322
OESA-2026-1527
OESA-2026-1528
OESA-2026-1529
OESA-2026-1592
OESA-2026-1593
OPENSUSE-SU-2025:15808-1
OPENSUSE-SU-2026:20030-1
OPENSUSE-SU-2026:20810-1
RHSA-2025:23919
RHSA-2025:23932
RHSA-2026:0009
RHSA-2026:0010
RHSA-2026:0011
RHSA-2026:0012
RHSA-2026:0074
RHSA-2026:0075
RHSA-2026:0090
RHSA-2026:0095
RHSA-2026:0139
RHSA-2026:0141
RHSA-2026:0171
RHSA-2026:2994
RHSA-2026:5156
SUSE-SU-2025:4488-1
SUSE-SU-2025:4518-1
SUSE-SU-2026:0019-1
SUSE-SU-2026:0020-1
SUSE-SU-2026:20081-1
SUSE-SU-2026:21846-1
USN-7968-1
USN-8338-1

Produtos afetados

Alt Linux
Almalinux
Apache Http Server
Centos
Debian
Linuxmint
Apple Macos
Red Hat
Red Os
Rocky Linux
Ubuntu