CVE-2023-25690

MITJÀ: (6,1)

CVSS3: 5,3

Apache HTTP Server és vulnerable a atacs de Request Splitting HTTP causats per un error quan mod_proxy està habilitat juntament amb alguna forma de RewriteRule o ProxyPassMatch. Un atacant remot podria explotar aquesta vulnerabilitat per saltar-se els controls d’accés al servidor proxy enviant URL no desitjades a servidors d’origen existents i enverinament de la memòria cache.

Sistemes Afectats

• Apache HTTP Server 2.4.17
• Apache HTTP Server 2.4.48
• Apache HTTP Server 2.4.50
• Apache HTTP Server 2.4.51
• Apache HTTP Server 2.4.52
• Apache HTTP Server 2.4.53
• Apache HTTP Server 2.4.54

Remediació
Actualitzeu a la darrera versió d’Apache HTTP Server (2.4.55 o posterior), disponible al lloc web d’Apache. Per més informació, podeu consultar l’apartat de les referències.

Referències

• https://httpd.apache.org/security/vulnerabilities_24.html
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-25690