Apache HTTP Server是Apache基金会开源的一款流行的HTTP服务器。在其2.4.49版本中,引入了一个路径穿越漏洞,满足下面两个条件的Apache服务器将会受到影响: 版本等于2.4.49 穿越的目录允许被访问,比如配置了<Directory />Require all granted</Directory>。(默认情况下是不允许的) 攻击者利用这个漏洞,可以读取位于Apache...
Apache Http Server 2.4.50 未完全修复(CVE-2021-42013)。 Apache Http Server 路径穿越漏洞原理# 在Apache HTTP Server 2.4.49 版本中,在对用户发送的请求中的路径参数进行规范化时,其使用的ap_normalize_path函数会对路径参数先进行 url 解码,然后判断是否存在../的路径穿越符。 当检测到路径中存在%字符时,若...
Apache 披露了一个在 Apache HTTP Server 2.4.49 上引入的漏洞,称为 CVE-2021-41773。同时发布了2.4.50更新,修复了这个漏洞。该漏洞允许攻击者绕过路径遍历保护,使用编码并读取网络服务器文件系统上的任意文件。运行此版本 Apache 的 Linux 和 Windows 服务器都受到影响。此漏洞是在 2.4.49 中引入的,该补丁旨在...
Apache HTTP Server 2.4.49路径穿越漏洞是安全风险中的一种,此漏洞允许攻击者通过不安全的路径访问服务器上的文件,甚至执行任意命令。漏洞存在条件包括:Apache HTTP Server版本为2.4.49且配置允许穿越的目录被访问,如Require all granted。攻击者可利用该漏洞读取Apache服务器Web目录外的文件,访问脚本...
CVE-2021-42013 Apache HTTP Server 路径穿越漏洞 前言 CVE-2021-42013为目录穿越文件读取漏洞,影响 httpd 2.4.49,CVE编号为CVE-2021-41773, https 2.4.50不完全修复可绕过,如果开启mod_cgi则可RCE。 分析 CVE-2021-41773复现分析如下: 利用网上师傅的docker镜像...
Apache HTTP Server作为互联网上最流行的Web服务器软件之一,其安全性一直备受关注。常见的漏洞类型包括: 代码执行漏洞:攻击者利用漏洞在配置允许的目录中执行脚本,如CNVD-2024-36388漏洞。 服务器端请求伪造(SSRF)漏洞:如CVE-2024-38472漏洞,攻击者通过恶意构造的请求使服务器向恶意服务器发送请求,可能泄露敏感信息。
近日,新华三攻防实验室威胁预警团队监测到Apache HTTP Server官方发布了安全公告,披露了Apache HTTP Server 2.4.49中存在路径穿越漏洞(CVE-2021-41773),Apache HTTP Server 2.4.49/2.4.50中存在远程命令执行漏洞(CVE-2021-42013)。 1.2漏洞详情 1. CVE-2021-41773:Apache HTTP Server 路径穿越漏洞...
近日,华为云关注到Apache官方发布安全公告,披露在Apache HTTP Server 2.4.49版本中存在一处路径穿越漏洞(CVE-2021-41773),并且POC已经被公开。如果配置了<Directory />Require all granted</Directory>,远程攻击者可以使用路径遍历攻击访问易受攻击的Web服务器上文档根目录以外的任意文件;如果Apache HTTP Server 2.4.49...
CVE-2021-41773/Apache HTTP Server 路径穿越漏洞 自己的一次简单的漏洞复现记录 学习请移步:https://github.com/vulhub/vulhub/blob/master/httpd/CVE-2021-41773/README.zh-cn.md https://httpd.apache.org/security/vulnerabilities_24.html 影响版本:=2.4.49...
Apache HTTP Server是Apache基金会开源的一款流行的HTTP服务器。Apache官方在2.4.50版本中对2.4.49版本中出现的目录穿越漏洞CVE-2021-41773进行了修复,但这个修复是不完整的,CVE-2021-42013是对补丁的绕过。 攻击者利用这个漏洞,可以读取位于Apache服务器Web目录以外的其他文件,或者读取Web目录中的脚本文件源码,或者在开...