Vulnérabilité dans le serveur Apache
Date de publication :
CVE-2021-42013[Score CVSS v3.1: 9,1]
Une vulnérabilité a été découverte dans le serveur HTTP Apache.
Le correctif 2.4.50 concernant la CVE-2021-41773 du serveur HTTP Apache n’est pas suffisant. Il s’agit d’un correctif qui permet d’éviter qu’un attaquant explore les fichiers au-delà de la racine du site. Ce risque d’exploration n’est pas possible si la protection « exiger tout refusé » (require all denied) est appliquée.
Cependant, une nouvelle vulnérabilité basée sur les fichiers CGI est désormais connue. Si les fichiers CGI ont l’alias activé (alias path), un attaquant peut effectuer une exécution de code arbitraire. Ce risque est possible même avec l’application du précédant correctif.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code arbitraire
Criticité
- Score CVSS v3.1: 9,1
CVE
Composants vulnérables.
- Les versions 2.4.49 et 2.4.50 d’Apache sont vulnérables.
Solutions ou recommandations
- Effectuer la mise à jour 2.4.51