PT-2025-49184 · Apache+10 · Apache Http Server+10

Mattias Åsander

Publicado

2025-01-01

Atualizado

2026-05-28

CVE-2025-66200

CVSS v2.0

5.5

Média

Vetor

AV:N/AC:L/Au:S/C:N/I:P/A:P

Nome do Software Vulnerável e Versões Afetadas Apache HTTP Server versões 2.4.7 a 2.4.65

Descrição Existe uma falha no Apache HTTP Server na qual é possível contornar o mod userdir+suexec através da funcionalidade AllowOverride FileInfo. Indivíduos com a capacidade de utilizar a diretiva RequestHeader dentro de um arquivo htaccess podem potencialmente fazer com que scripts CGI sejam executados sob um ID de usuário não pretendido.

Recomendações Atualize para a versão 2.4.66 para resolver este problema.

Correção

Authentication Bypass Using an Alternate Path or Channel

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-288

Identificadores relacionados

ALSA-2025:23732

ALSA-2025:23919

ALSA-2025:23932

AZL-71528

AZL-71590

BDU:2025-15638

BIT-APACHE-2025-66200

CVE-2025-66200

MGASA-2025-0322

OESA-2026-1527

OESA-2026-1528

OESA-2026-1529

OESA-2026-1592

OESA-2026-1593

OPENSUSE-SU-2025:15808-1

OPENSUSE-SU-2026:20030-1

OPENSUSE-SU-2026:20810-1

RHSA-2026:2994

RHSA-2026:5156

SUSE-SU-2025:4488-1

SUSE-SU-2025:4518-1

SUSE-SU-2026:0019-1

SUSE-SU-2026:0020-1

SUSE-SU-2026:20081-1

SUSE-SU-2026:21846-1

USN-7968-1

USN-8338-1

Produtos afetados

Alt Linux

Almalinux

Apache Http Server

Centos

Debian

Linuxmint

Apple Macos

Red Hat

Red Os

Rocky Linux

Ubuntu

PT-2025-49184 · Apache+10 · Apache Http Server+10

CVE-2025-66200

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 122