CRITICAL🚩 CISA KEV⚡ EXPLOIT✓ PATCH🇬🇧 English

CVE-2021-40438

CVSS 9.0v3.1pub. 2021-09-16upd. 2025-10-27

A crafted request uri-path can cause mod_proxy to forward the request to an origin server choosen by the remote user. This issue affects Apache HTTP Server 2.4.48 and earlier.

oryginał EN
CVSS Vector
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Apache HTTP Server

    APP
    Apache
    ≤ 2.4.48
  • Broadcom Brocade Fabric Operating System Firmware

    OS
    Broadcom
    wszystkie wersje
  • Debian

    OS
    Debian
    10.011.09.0
  • F5 F5os

    OS
    F5
    1.2.0 – 1.2.11.1.0 – 1.1.4
  • Fedora Project Fedora

    OS
    Fedoraproject
    3435
  • Netapp Cloud Backup

    APP
    Netapp
    wszystkie wersje
  • Netapp Clustered Data Ontap

    APP
    Netapp
    wszystkie wersje
  • Netapp Storagegrid

    APP
    Netapp
    wszystkie wersje
  • Oracle Enterprise Manager Ops Center

    APP
    Oracle
    12.4.0.0
  • Oracle HTTP Server

    APP
    Oracle
    12.2.1.3.012.2.1.4.0
  • Oracle Instantis Enterprisetrack

    APP
    Oracle
    17.117.217.3
  • Oracle Secure Global Desktop

    APP
    Oracle
    5.6
  • Oracle Zfs Storage Appliance Kit

    APP
    Oracle
    8.8
  • Red Hat Enterprise Linux

    OS
    Redhat
    7.08.0
  • Red Hat Enterprise Linux Eus

    OS
    Redhat
    8.18.28.48.68.8
  • Red Hat Enterprise Linux For Arm 64

    OS
    Redhat
    8.0
  • Red Hat Enterprise Linux For Arm 64 Eus

    OS
    Redhat
    8.68.8
  • Red Hat Enterprise Linux For IBM Z Systems

    OS
    Redhat
    7.0_s390x8.0
  • Red Hat Enterprise Linux For IBM Z Systems Eus

    OS
    Redhat
    8.18.48.8
  • Red Hat Enterprise Linux For IBM Z Systems Eus S390x

    OS
    Redhat
    8.2
  • Red Hat Enterprise Linux For Power Big Endian

    OS
    Redhat
    7.0
  • Red Hat Enterprise Linux For Power Little Endian

    OS
    Redhat
    7.08.0
  • Red Hat Enterprise Linux For Power Little Endian Eus

    OS
    Redhat
    8.18.28.48.68.8
  • Red Hat Enterprise Linux For Scientific Computing

    OS
    Redhat
    7.0
  • Red Hat Enterprise Linux Server

    OS
    Redhat
    7.0
  • Red Hat Enterprise Linux Server Aus

    OS
    Redhat
    7.27.37.47.67.78.28.48.6
  • Red Hat Enterprise Linux Server For Power Little Endian Update Services For Sap Solutions

    OS
    Redhat
    7.67.78.18.28.48.68.8
  • Red Hat Enterprise Linux Server Tus

    OS
    Redhat
    7.67.78.28.48.68.8
  • Red Hat Enterprise Linux Server Update Services For Sap Solutions

    OS
    Redhat
    7.67.7
  • Red Hat Enterprise Linux Server Workstation

    OS
    Redhat
    7.0

CISA KEV — szczegółyi

Dostawcai
Apache
Produkti
Apache
Data dodania do KEVi
1 grudnia 2021
Termin remediation (USA)i
15 grudnia 2021(po terminie)
Wymagana akcja (CISA)i

Zastosuj aktualizacje zgodnie z instrukcjami producenta.

tłumaczenie AI
Pokaż oryginał (EN)

Apply updates per vendor instructions.

Opis CISAi

Specjalnie przygotowana ścieżka URI w żądaniu może spowodować, że mod_proxy przekaże żądanie na serwer pochodzenia wybrany przez zdalnego użytkownika. Problem dotyczy Apache HTTP Server 2.4.48 i wcześniejszych wersji.

tłumaczenie AI
Pokaż oryginał (EN)

A crafted request uri-path can cause mod_proxy to forward the request to an origin server choosen by the remote user. This issue affects Apache HTTP Server 2.4.48 and earlier.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
CISA DEADLINE: 15 grudnia 2021
CWE
Referencje

Powiązane podatności

CVE-2026-24061CRITICAL9.8⚠ KEVPL ✓ten sam produkt

GNU Inetutils telnetd: ominięcie uwierzytelnienia przez zmienną USER

CVE-2025-32463CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Sudo: eskalacja uprawnień do root poprzez opcję --chroot (CVE-2025-32463)

CVE-2025-49113CRITICAL9.9⚠ KEVPL ✓ten sam produkt

RCE przez deserializację PHP w Roundcube Webmail (parametr _from)

CVE-2025-32433CRITICAL10.0⚠ KEVPL ✓ten sam produkt

Erlang/OTP SSH — nieuwierzytelniony RCE (CVSS 10.0)

CVE-2025-24201CRITICAL10.0⚠ KEVPL ✓ten sam produkt

Apple WebKit: out-of-bounds write umożliwiający ucieczkę z sandbox przeglądarki