CRITICAL🚩 CISA KEV⚡ EXPLOIT✓ PATCH🇬🇧 English

CVE-2021-42013

CVSS 9.8v3.1pub. 2021-10-07upd. 2025-10-27

It was found that the fix for CVE-2021-41773 in Apache HTTP Server 2.4.50 was insufficient. An attacker could use a path traversal attack to map URLs to files outside the directories configured by Alias-like directives. If files outside of these directories are not protected by the usual default configuration "require all denied", these requests can succeed. If CGI scripts are also enabled for these aliased pathes, this could allow for remote code execution. This issue only affects Apache 2.4.49 and Apache 2.4.50 and not earlier versions.

oryginał EN
CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Apache HTTP Server

    APP
    Apache
    2.4.492.4.50
  • Fedora Project Fedora

    OS
    Fedoraproject
    3435
  • Netapp Cloud Backup

    APP
    Netapp
    wszystkie wersje
  • Oracle Instantis Enterprisetrack

    APP
    Oracle
    17.117.217.3
  • Oracle Jd Edwards Enterpriseone Tools

    APP
    Oracle
    < 9.2.6.0
  • Oracle Secure Backup

    APP
    Oracle
    < 18.1.0.1.0

CISA KEV — szczegółyi

Dostawcai
Apache
Produkti
HTTP Server
Data dodania do KEVi
3 listopada 2021
Termin remediation (USA)i
17 listopada 2021(po terminie)
Ransomwarei
Aktywne kampanie ransomware używają tej podatności
Wymagana akcja (CISA)i

Zastosuj aktualizacje zgodnie z instrukcjami producenta.

tłumaczenie AI
Pokaż oryginał (EN)

Apply updates per vendor instructions.

Opis CISAi

Apache HTTP Server zawiera lukę path traversal pozwalającą atakującemu na zdalne wykonanie kodu, jeśli pliki spoza katalogów skonfigurowanych przez dyrektywy podobne do Alias nie podlegają domyślnemu require all denied lub jeśli skrypty CGI są włączone. Ten CVE ID rozwiązuje niekompletną poprawkę CVE-2021-41773.

tłumaczenie AI
Pokaż oryginał (EN)

Apache HTTP Server contains a path traversal vulnerability that allows an attacker to perform remote code execution if files outside directories configured by Alias-like directives are not under default require all denied or if CGI scripts are enabled. This CVE ID resolves an incomplete patch for CVE-2021-41773.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
☠️WYKORZYSTYWANE W RANSOMWARECISA DEADLINE: 17 listopada 2021
Tagi
RCEPath Traversal
CWE
Referencje

Powiązane podatności

CVE-2024-38475CRITICAL9.1⚠ KEVPL ✓ten sam produkt

Apache HTTP Server mod_rewrite — ujawnienie kodu i RCE poprzez błędne escapowanie

CVE-2024-4577CRITICAL9.8⚠ KEVPL ✓ten sam produkt

PHP CGI argument injection – RCE na Windows przez mechanizm Best-Fit

CVE-2024-5274CRITICAL9.6⚠ KEVPL ✓ten sam produkt

Type Confusion w V8 (Google Chrome) — RCE przez spreparowaną stronę HTML

CVE-2024-4947CRITICAL9.6⚠ KEVPL ✓ten sam produkt

Type Confusion w silniku V8 Chrome — zdalne wykonanie kodu (RCE)

CVE-2024-4671CRITICAL9.6⚠ KEVPL ✓ten sam produkt

Use-after-free w Google Chrome Visuals umożliwiający ucieczkę z sandbox