Skip to main content

Vulnerabilidad crítica en el servidor HTTP Apache

septiembre 9, 2024


Publicado: 2024-08-15 10:26

apache

Vulnerabilidad

En julio, Apache solucionó varias vulnerabilidades en el servidor Apache HTTP, dos de las cuales son críticas. [1]. En la conferencia Black Hat, un experto en ciberseguridad llamó recientemente la atención sobre cómo se pueden explotar varias de estas vulnerabilidades. [2]

Un atacante podría aprovechar una de las vulnerabilidades críticas (CVE-2024-38475, clasificación CVSS 9.1) para acceder a archivos en el servidor web fuera del directorio raíz del sitio y ejecutar código de forma remota. La vulnerabilidad reside en el módulo mod_rewrite y es causada por fallas en la salida que pueden provocar confusiones entre las URL y las rutas locales en el servidor. Puede darle al atacante acceso a carpetas que el servidor web tiene permiso para leer, pero que no deberían ser accesibles a través de URL.

Productos afectados

HTTP Server versioner före 2.4.60

Recomendaciones

CERT-SE recomienda instalar las actualizaciones de seguridad lo antes posible.

Fuentes

[1] https://httpd.apache.org/security/vulnerabilities_24.html

[2] https://cybersecuritynews.com/confusion-attacks-in-apache-http-server/



Source link

Saber más  El FBI, la CISA, la NSA y socios estadounidenses e internacionales publican un aviso sobre actores cibernéticos militares rusos que atacan infraestructuras críticas estadounidenses y mundiales
Translate »