Vulnérabilité concernant le serveur Web Apache
Date de publication :
CVE-2021-42013[Score CVSS v3.1: 8.1]
Une vulnérabilité a été découverte concernant le serveur Web HTTP Apache
Par suite du correctif incomplet concernant la CVE-2021-41773 qui mettait en avant une possible traversée de répertoire (« path tranversal »), une vulnérabilité a été découverte.
Dans les versions Apache HTTP Server 2.4.49 et 2.4.50, un attaquant peut utiliser la technique du « path transversal » afin de rediriger des URL vers des fichiers en dehors du répertoire initial. Si la configuration du serveur le permet, il est aussi possible pour l’attaquant de lancer des scripts à la place du document attendu par l’URL et ainsi de réaliser une exécution de code à distance sur le serveur.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code à distance
- Confidentialité et Intégrité
Criticité
- Score CVSS v3.1: 8.1
CVE
Composants vulnérables.
Les versions 2.4.49 et 2.4.50 du serveur http Apache sont vulnérables
Solutions ou recommandations
Il est recommandé d’effectuer la mise à jour suivante selon les versions :
- Dans la version Apache http Server 2.4.51, cette vulnérabilité a été corrigée.
- La limitation par l’utilisation de la politique de sécurité native d'Apache « require deny all » doit être conservée ainsi qu'appliquée sur les alias. .