LimitaciĆ³n incorrecta de nombre de ruta a un directorio restringido en varias versiones de Apache HTTP Server

Fecha de publicaciĆ³n: 08/10/2021

Importancia:
CrĆ­tica

Recursos afectados:

Apache HTTP Server, versiĆ³n 2.4.49 y 2.4.50.

DescripciĆ³n:

Los investigadores Juan Escobar, de Dreamlab Technologies; Fernando MuƱoz, de NULL Life CTF Team; y Shungo Kumasaka han reportado a Apache una vulnerabilidad de severidad crĆ­tica que podrĆ­a permitir a un atacante la ejecuciĆ³n remota de cĆ³digo y exfiltrar informaciĆ³n.

SoluciĆ³n:

Actualizar a la versiĆ³n 2.4.51.

Detalle:

La correcciĆ³n de CVE-2021-41773 en Apache HTTP Server 2.4.50 era insuficiente. Las versiones de Apache HTTP Server afectadas presentan una vulnerabilidad de limitaciĆ³n incorrecta de una ruta a un directorio restringido (path traversal), lo que podrĆ­a permitir a un atacante acceder, si la opciĆ³n ā€œrequire all deniedā€ no estĆ” configurada, a archivos fuera de directorios configurados por directivas Alias, asĆ­ como ejecutar cĆ³digo de forma remota si los scripts CGI estĆ”n habilitados para esas rutas. Se ha asignado el identificador CVE-2021-42013 para esta vulnerabilidad.

Encuesta valoraciĆ³n

Etiquetas:
ActualizaciĆ³n, Apache, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ćŗnicamente informativa y su veracidad estĆ” supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĆ³mo servicio para facilitar a usuarios y empresas la obtenciĆ³n de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.