CRITICAL🚩 CISA KEV⚡ EXPLOIT✓ PATCH🇬🇧 English

CVE-2024-38475

Apache HTTP Server mod_rewrite — ujawnienie kodu i RCE poprzez błędne escapowanie

CVSS 9.1v3.1pub. 2024-07-01upd. 2025-11-17

Błąd nieprawidłowego escapowania danych wyjściowych w module mod_rewrite serwera Apache HTTP Server 2.4.59 i wcześniejszych umożliwia atakującemu mapowanie adresów URL na lokalizacje systemu plików, które nie powinny być bezpośrednio dostępne. Podatność może prowadzić do ujawnienia kodu źródłowego lub zdalnego wykonania kodu (RCE) i jest aktywnie wykorzystywana przez atakujących.

Pokaż oryginał (EN)

Improper escaping of output in mod_rewrite in Apache HTTP Server 2.4.59 and earlier allows an attacker to map URLs to filesystem locations that are permitted to be served by the server but are not intentionally/directly reachable by any URL, resulting in code execution or source code disclosure. Substitutions in server context that use a backreferences or variables as the first segment of the substitution are affected.  Some unsafe RewiteRules will be broken by this change and the rewrite flag "UnsafePrefixStat" can be used to opt back in once ensuring the substitution is appropriately constrained.

🤖 Analiza AI
Jak działa

Moduł mod_rewrite niepoprawnie przetwarza znaki specjalne podczas podstawiania (substitution) w kontekście serwera, gdy pierwszym segmentem podstawienia jest backreference lub zmienna. Pozwala to atakującemu na skonstruowanie odpowiednio spreparowanego adresu URL, który zostaje zmapowany na lokalizację systemu plików dostępną dla serwera, lecz normalnie nieosiągalną przez żadne publiczne URL. Skutkiem może być zarówno ujawnienie kodu źródłowego aplikacji, jak i wykonanie kodu na serwerze. Producent wprowadził nową flagę RewriteRule o nazwie 'UnsafePrefixStat', pozwalającą administratorom przywrócić dotychczasowe zachowanie po upewnieniu się o bezpieczeństwie stosowanych reguł.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do plików systemu serwera (ujawnienie kodu źródłowego) lub doprowadzić do zdalnego wykonania kodu (RCE) bez konieczności uwierzytelnienia.

Mitygacja

Należy jak najszybciej zaktualizować Apache HTTP Server do wersji wyższej niż 2.4.59, stosując patche wskazane przez producenta pod adresem https://httpd.apache.org/security/vulnerabilities_24.html. Administratorzy korzystający z niebezpiecznych reguł RewriteRule powinni zweryfikować ich poprawność przed ewentualnym użyciem flagi 'UnsafePrefixStat'. Dla produktów Netapp i SonicWall należy zastosować patche dostępne u producenta zgodnie z referencjami.

Kogo dotyczy

Apache HTTP Server w wersji 2.4.59 i wcześniejszych; produkty zależne: Netapp ONTAP 9, SonicWall SMA 200 Firmware, SonicWall SMA 200, SonicWall SMA 210 Firmware

Uwagi

Podatność została opublikowana 1 lipca 2024 r. Poprawka dostępna w repozytorium Apache pod commitem 9a6157d1e2f7ab15963020381054b48782bc18cf. Figuruje w katalogu CISA KEV jako aktywnie exploitowana.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • Apache HTTP Server

    APP
    Apache
    2.4.0 – 2.4.60 (bez)
  • Netapp Ontap 9

    APP
    Netapp
    wszystkie wersje
  • Sonicwall Sma 200

    HW
    Sonicwall
    wszystkie wersje
  • Sonicwall Sma 200 Firmware

    OS
    Sonicwall
    < 10.2.1.14-75sv
  • Sonicwall Sma 210

    HW
    Sonicwall
    wszystkie wersje
  • Sonicwall Sma 210 Firmware

    OS
    Sonicwall
    < 10.2.1.14-75sv
  • Sonicwall Sma 400

    HW
    Sonicwall
    wszystkie wersje
  • Sonicwall Sma 400 Firmware

    OS
    Sonicwall
    < 10.2.1.14-75sv
  • Sonicwall Sma 410

    HW
    Sonicwall
    wszystkie wersje
  • Sonicwall Sma 410 Firmware

    OS
    Sonicwall
    < 10.2.1.14-75sv
  • Sonicwall Sma 500v

    HW
    Sonicwall
    wszystkie wersje
  • Sonicwall Sma 500v Firmware

    OS
    Sonicwall
    < 10.2.1.14-75sv

CISA KEV — szczegółyi

Dostawcai
Apache
Produkti
HTTP Server
Data dodania do KEVi
1 maja 2025
Termin remediation (USA)i
22 maja 2025(po terminie)
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z wytycznymi BOD 22-01 dotyczącymi usług chmurowych lub wstrzymaj używanie produktu, jeśli mitygacje są niedostępne.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.

Opis CISAi

Apache HTTP Server zawiera lukę polegającą na niewłaściwym escape'owaniu wyjścia w mod_rewrite, która pozwala atakującemu mapować adresy URL na lokalizacje w systemie plików, które serwer może udostępniać, ale nie są zamierzone/bezpośrednio dostępne przez żaden adres URL, powodując wykonanie kodu lub ujawnienie kodu źródłowego.

tłumaczenie AI
Pokaż oryginał (EN)

Apache HTTP Server contains an improper escaping of output vulnerability in mod_rewrite that allows an attacker to map URLs to filesystem locations that are permitted to be served by the server but are not intentionally/directly reachable by any URL, resulting in code execution or source code disclosure.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
CISA DEADLINE: 22 maja 2025
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2021-20038CRITICAL9.8⚠ KEVten sam produkt

A Stack-based buffer overflow vulnerability in SMA100 Apache httpd server's mod_cgi module environment variabl...

CVE-2021-42013CRITICAL9.8⚠ KEVten sam produkt

It was found that the fix for CVE-2021-41773 in Apache HTTP Server 2.4.50 was insufficient. An attacker could ...

CVE-2021-41773CRITICAL9.8⚠ KEVten sam produkt

A flaw was found in a change made to path normalization in Apache HTTP Server 2.4.49. An attacker could use a ...

CVE-2021-40438CRITICAL9.0⚠ KEVten sam produkt

A crafted request uri-path can cause mod_proxy to forward the request to an origin server choosen by the remot...

CVE-2021-20028CRITICAL9.8⚠ KEVten sam produkt

Improper neutralization of a SQL Command leading to SQL Injection vulnerability impacting end-of-life Secure R...