PT-2026-37040 · Apache+3 · Apache Http Server+3

Andrew Lacambra

+3

·

Publicado

2026-02-04

·

Atualizado

2026-06-08

·

CVE-2026-28780

CVSS v2.0

10

Crítica

VetorAV:N/AC:L/Au:N/C:C/I:C/A:C
Nome do Software Vulnerável e Versões Afetadas Apache HTTP Server versões anteriores a 2.4.67
Descrição Um estouro de buffer baseado em heap existe no módulo mod proxy ajp. Se o mod proxy ajp se conectar a um servidor AJP malicioso, esse servidor poderá enviar uma mensagem AJP manipulada, fazendo com que o sistema escreva quatro bytes controlados pelo invasor após o final de um buffer baseado em heap, resultando em corrupção de memória.
Recomendações Atualizar para a versão 2.4.67.

Correção

DoS

RCE

Heap Based Buffer Overflow

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-122

Identificadores relacionados

ALSA-2026:21391
ALSA-2026:21433
ALSA-2026:22140
BDU:2026-06407
BIT-APACHE-2026-28780
CVE-2026-28780
OESA-2026-2316
OESA-2026-2317
OESA-2026-2318
OESA-2026-2319
OESA-2026-2320
OPENSUSE-SU-2026:10785-1
RHSA-2026:21391
RHSA-2026:21433
USN-8239-1
USN-8396-1

Produtos afetados

Apache Http Server
Linuxmint
Rocky Linux
Ubuntu