CVE-2021-41773


2024. január 18. 11:45

Apache HTTP Server sérülékenysége
Angol cím: Apache HTTP Server vulnerability

Publikálás dátuma: 2021.10.05.
Utolsó módosítás dátuma: 2023.11.07.

Leírás

Hozzáférési útvonal: A szoftver külső bemenetet használ a korlátozott szülőkönyvtár alatt található fájl vagy könyvtár azonosítására szolgáló helynév megalkotásához, de a szoftver nem megfelelően semlegesíti azokat a speciális elemeket az értékben, amelyek az útvonalat olyan helyre írányítják, amely a korlátozott könyvtáron kívül van.

Leírás forrása: CWE-22

Elemzés leírás

Eredeti nyelven: A flaw was found in a change made to path normalization in Apache HTTP Server 2.4.49. An attacker could use a path traversal attack to map URLs to files outside the directories configured by Alias-like directives. If files outside of these directories are not protected by the usual default configuration “require all denied”, these requests can succeed. If CGI scripts are also enabled for these aliased pathes, this could allow for remote code execution. This issue is known to be exploited in the wild. This issue only affects Apache 2.4.49 and not earlier versions. The fix in Apache HTTP Server 2.4.50 was found to be incomplete, see CVE-2021-42013.

Elemzés leírás forrása: CVE-2021-41773

Hatás

CVSS3.1 Súlyosság és Metrika

Base score: 7.5 (Magas)
Vector: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Impact Score: 3.6
Exploitability Score: 3.9

Attack Vector (AV): Network
Attack Complexity (AC): Low
Privileges Required (PR): None
User Interaction (UI): None
Scope (S): Unchanged
Confidentiality Impact (C): High
Integrity Impact (I): None
Availability Impact (A): None

Következmények

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Hivatkozások

packetstormsecurity.com
packetstormsecurity.com
packetstormsecurity.com
packetstormsecurity.com
www.openwall.com
www.openwall.com
www.openwall.com
www.openwall.com
www.openwall.com
www.openwall.com
www.openwall.com
www.openwall.com
www.openwall.com
www.openwall.com
www.openwall.com
www.openwall.com
www.openwall.com
httpd.apache.org
lists.apache.org
lists.apache.org
lists.apache.org
lists.apache.org
lists.apache.org
lists.fedoraproject.org
lists.fedoraproject.org
security.gentoo.org
security.netapp.com
tools.cisco.com
www.oracle.com

Sérülékeny szoftverek

Apache Software Foundation Apache HTTP Server 2.4.49
Fedoraproject Fedora 34
Fedora 35
Oracle Instantis EnterpriseTrack 17.1
Oracle Instantis EnterpriseTrack 17.2
Oracle Instantis EnterpriseTrack 17.3
NetApp Cloud Backup

Címkék

Apache HTTP server Apache Software Foundation

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-31330 – SAP Landscape Transformation sebezhetősége
CVE-2025-27429 – SAP sebezhetősége
CVE-2025-21204 – Windows Process Activation Elevation of Privilege sebezhetősége
CVE-2025-32432 – Craft CMS RCE sebezhetősége
CVE-2025-1976 – Broadcom Brocade Fabric OS Code Injection sebezhetősége
CVE-2025-31324 – SAP NetWeaver sebezhetősége
CVE-2025-24206 – Apple AirPlay sebezhetősége
CVE-2025-24252 – Apple AirPlay sebezhetősége
CVE-2025-2492 – ASUS Router AiCloud sérülékenysége
Tovább a sérülékenységekhez »