漏洞标题
Apache HTTP Server在mod_rewrite模块中存在漏洞,当替换段的第一部分匹配文件系统路径时。
漏洞描述信息
在Apache HTTP服务器2.4.59及更早版本的mod_rewrite中不正确的输出转义允许攻击者将URL映射到由服务器允许服务但通过任何URL无法故意/直接访问的文件系统位置,导致代码执行或源代码泄露。
在服务器上下文中使用回溯引用或变量作为替换的第一部分的替换受到影响。此更改将破坏一些不安全的重写规则,可以使用重写标志“UnsafePrefixStat”重新启用替换,前提是确保替换受到适当限制。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
输出中的特殊元素转义处理不恰当(注入)
漏洞标题
Apache HTTP Server weakness in mod_rewrite when first segment of substitution matches filesystem path.
漏洞描述信息
Improper escaping of output in mod_rewrite in Apache HTTP Server 2.4.59 and earlier allows an attacker to map URLs to filesystem locations that are permitted to be served by the server but are not intentionally/directly reachable by any URL, resulting in code execution or source code disclosure.
Substitutions in server context that use a backreferences or variables as the first segment of the substitution are affected. Some unsafe RewiteRules will be broken by this change and the rewrite flag "UnsafePrefixStat" can be used to opt back in once ensuring the substitution is appropriately constrained.
CVSS信息
N/A
漏洞类别
对输出编码和转义不恰当
漏洞标题
Apache HTTP Server 安全漏洞
漏洞描述信息
Apache HTTP Server是美国阿帕奇(Apache)基金会的一款开源网页服务器。该服务器具有快速、可靠且可通过简单的API进行扩充的特点。 Apache HTTP Server 2.4.59及之前版本存在安全漏洞,该漏洞源于输出转义不当,允许攻击者将URL映射无法通过任何URL直接访问的文件系统位置,从而导致代码执行或源代码泄露。
CVSS信息
N/A
漏洞类别
其他