Apache HTTP Server weakness with encoded question marks in backreferences 漏洞信息(CVE-2024-38474)

一、漏洞 CVE-2024-38474 基础信息

漏洞标题

Apache HTTP服务器的弱点：后参考中的编码问号

来源：AIGC 神龙大模型

漏洞描述信息

Apache HTTP Server 2.4.59 及更早版本中的 mod_rewrite 替换编码问题允许攻击者在配置允许但无法通过任何 URL 或源披露直接访问的目录中执行脚本。建议用户升级到版本 2.4.60，以修复此问题。一些捕获和不安全替换的重写规则现在如果未指定“UnsafeAllow3F”重写标志则将失败。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

来源：AIGC 神龙大模型

漏洞类别

可信数据的反序列化

来源：AIGC 神龙大模型

漏洞标题

Apache HTTP Server weakness with encoded question marks in backreferences

来源：美国国家漏洞数据库 NVD

漏洞描述信息

Substitution encoding issue in mod_rewrite in Apache HTTP Server 2.4.59 and earlier allows attacker to execute scripts in directories permitted by the configuration but not directly reachable by any URL or source disclosure of scripts meant to only to be executed as CGI. Users are recommended to upgrade to version 2.4.60, which fixes this issue. Some RewriteRules that capture and substitute unsafely will now fail unless rewrite flag "UnsafeAllow3F" is specified.

来源：美国国家漏洞数据库 NVD

CVSS信息

N/A

来源：美国国家漏洞数据库 NVD

漏洞类别

对输出编码和转义不恰当

来源：美国国家漏洞数据库 NVD

漏洞标题

Apache HTTP Server 安全漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

Apache HTTP Server是美国阿帕奇（Apache）基金会的一款开源网页服务器。该服务器具有快速、可靠且可通过简单的API进行扩充的特点。 Apache HTTP Server 2.4.59及之前版本存在安全漏洞，该漏洞源于mod_rewrite存在替换编码问题，允许攻击者在配置允许的目录中执行脚本。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

其他

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2024-38474 的公开POC

#	POC 描述	源链接	神龙链接

一、 漏洞 CVE-2024-38474 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2024-38474 的公开POC

三、漏洞 CVE-2024-38474 的情报信息

一、漏洞 CVE-2024-38474 基础信息