Empresa Española Especializada en Ciberseguridad

|
es arrow down
© 2023 S2 Grupo
Alertas

Vulnerabilidad crítica en Apache HTTP Server

Se ha publicado recientemente una vulnerabilidad en la normalización de rutas en la versión 2.4.49 de Apache HTTP Server [1].
06 Oct 2021

ANÁLISIS 

Mediante la explotación de la vulnerabilidad identificada como CVE-2021-41773, un atacante externo podría llegar a leer cualquier archivo, incluidos los que se encuentran fuera del documento root, haciendo uso de un path transversal para mapear URLs a archivos fuera del documento root [2]. 

Si los archivos fuera del documento root no están protegidos por "require all denied", estas solicitudes se pueden llevar a cabo con éxito. Además, este fallo podría filtrar la fuente de archivos interpretados, como los scripts CGI, que puede contener información confidencial que los atacantes podrían aprovechar para la realización de más ataques [3]. 

Actualmente, la vulnerabilidad CVE-2021-41773 no tiene asignada una puntuación CVSS3.0 oficial. No obstante, está siendo evaluada de gravedad alta [4]. 

RECOMENDACIONES

Se recomienda a los usuarios de Apache HTTP Server que actualicen a la última versión (2.4.50) que corrige esta vulnerabilidad [1]. 

 
REFERENCIAS 

[1] https://httpd.apache.org/security/vulnerabilities_24.html
[2] https://www.hackplayers.com/2021/10/path-traversal-apache-2-4-49.html
[3] https://es-la.tenable.com/blog/cve-2021-41773-path-traversal-zero-day-in-apache-http-server-exploited?tns_redirect=true
[4] https://nvd.nist.gov/vuln/detail/CVE-2021-41773

Artículos relacionados
Ver todas →
Alertas
Campaña de phishing contra Xerox
Leer más →
Alertas
Detectada campaña de ciberataques a través de SolarWinds
Leer más →
Alertas
Vulnerabilidad crítica en los módulos WAF y ASM de BIG-IP
Leer más →

Síguenos en nuestra newsletter

Suscríbete a través de tu email para estar al día