A carefully crafted request body can cause a buffer overflow in the mod_lua multipart parser (r:parsebody() called from Lua scripts). The Apache httpd team is not aware of an exploit for the vulnerabilty though it might be possible to craft one. This issue affects Apache HTTP Server 2.4.51 and earlier.
oryginał ENCVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HApache HTTP Server
APPApache< 2.4.52Apple macOS
OSApple12.0 – 12.4 (bez)< 10.15.711.0 – 11.6.6 (bez)Apple Mac Os X
OSApple10.15.7Debian
OSDebian10.011.0Fedora Project Fedora
OSFedoraproject343536Netapp Cloud Backup
APPNetappwszystkie wersjeOracle Communications Element Manager
APPOracle≤ 9.0Oracle Communications Operations Monitor
APPOracle4.34.45.0Oracle Communications Session Report Manager
APPOracle≤ 9.0Oracle Communications Session Route Manager
APPOracle≤ 9.0Oracle HTTP Server
APPOracle12.2.1.3.012.2.1.4.0Oracle Instantis Enterprisetrack
APPOracle17.117.217.3Oracle Zfs Storage Appliance Kit
APPOracle8.8Tenable Tenable.sc
APPTenable5.16.0 – 5.20.0 (bez)
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
Memory
Referencje
Powiązane podatności
CVE-2026-24061CRITICAL9.8⚠ KEVPL ✓ten sam produkt
GNU Inetutils telnetd: ominięcie uwierzytelnienia przez zmienną USER
CVE-2025-10585CRITICAL9.8⚠ KEVPL ✓ten sam produkt
Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty
CVE-2025-43300CRITICAL10.0⚠ KEVPL ✓ten sam produkt
Apple iOS/iPadOS/macOS — out-of-bounds write przy przetwarzaniu obrazu
CVE-2025-32463CRITICAL9.3⚠ KEVPL ✓ten sam produkt
Sudo: eskalacja uprawnień do root poprzez opcję --chroot (CVE-2025-32463)
CVE-2025-49113CRITICAL9.9⚠ KEVPL ✓ten sam produkt
RCE przez deserializację PHP w Roundcube Webmail (parametr _from)