PT-2025-49183 · Apache+10 · Apache Http Server+10

Mattias Åsander

·

Publicado

2025-01-01

·

Atualizado

2026-05-28

·

CVE-2025-65082

CVSS v3.1

6.5

Média

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
Nome do Software Vulnerável e Versões Afetadas Apache HTTP Server versões 2.4.0 a 2.4.65
Descrição Existe uma vulnerabilidade no Apache HTTP Server na qual a neutralização inadequada de sequências de escape, meta ou de controle pode ocorrer por meio de variáveis de ambiente definidas via configuração do Apache. Isso permite a substituição inesperada de variáveis calculadas pelo servidor para programas CGI. A questão afeta o tratamento de programas CGI e suas variáveis de ambiente. Não foram fornecidas informações sobre o número de dispositivos potencialmente afetados ou sobre quaisquer incidentes reais onde essa vulnerabilidade foi explorada. A vulnerabilidade envolve a manipulação de variáveis de ambiente utilizadas por programas CGI, podendo levar a comportamento inesperado ou execução de código. Especificamente, variáveis de ambiente configuradas na configuração do Apache podem sobrescrever aquelas calculadas pelo próprio servidor.
Recomendações Atualize para a versão 2.4.66 para resolver o problema.

Correção

RCE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-150

Identificadores relacionados

ALSA-2025:23732
ALSA-2025:23919
ALSA-2025:23932
AZL-71525
AZL-71596
BDU:2025-15637
BIT-APACHE-2025-65082
CVE-2025-65082
MGASA-2025-0322
OESA-2026-1527
OESA-2026-1528
OESA-2026-1529
OESA-2026-1592
OESA-2026-1593
OPENSUSE-SU-2025:15808-1
OPENSUSE-SU-2026:20030-1
OPENSUSE-SU-2026:20810-1
RHSA-2026:2994
RHSA-2026:5156
SUSE-SU-2025:4488-1
SUSE-SU-2025:4518-1
SUSE-SU-2026:0019-1
SUSE-SU-2026:0020-1
SUSE-SU-2026:20081-1
SUSE-SU-2026:21846-1
USN-7968-1
USN-8338-1
ZDI-26-063

Produtos afetados

Alt Linux
Almalinux
Apache Http Server
Centos
Debian
Linuxmint
Apple Macos
Red Hat
Red Os
Rocky Linux
Ubuntu