O Apache corrigiu duas vulnerabilidades de segurança (CVE-2021-41773 e CVE-2021-33193) no servidor Apache HTTP 2.4.49, um dos quais importante e o outro moderado.
CVE-2021-41773
CVE-2021-41773 é uma vulnerabilidade de passagem de caminho e divulgação de arquivo no servidor Apache HTTP 2.4.49. Existem relatórios que indicam que a vulnerabilidade foi explorada à solta. De acordo com a assessoria oficial, a falha foi relatada por Ash Daulton juntamente com a equipe de segurança do cPanel.
“Uma falha foi encontrada em uma mudança feita na normalização do caminho no Apache HTTP Server 2.4.49. Um invasor pode usar um ataque de passagem de caminho para mapear URLs para arquivos fora da raiz do documento esperado,” o consultor disse. A vulnerabilidade também pode ser explorada para vazar a fonte de arquivos interpretados, como scripts CGI.
A falha foi avaliada como importante.
CVE-2021-33193
Esta vulnerabilidade pode ser desencadeada por “um método elaborado enviado por meio de HTTP / 2,” que pode ignorar a validação e ser encaminhado por mod_proxy, eventualmente causando divisão de solicitação ou envenenamento de cache. a falha, que foi relatado por James Kettle do PortSwigger afeta o servidor Apache HTTP 2.4.17 para 2.4.48, e foi classificado como moderado.
Ano passado, Apache corrigiu um par de graves zero dias em seu gateway de desktop remoto Apache Guacamole. As vulnerabilidades foram descritas como vulnerabilidades RDP reversas, que podem permitir que criminosos assumam o controle das sessões. Os problemas foram rastreados na consultoria CVE-2020-9497.
UAU