← voltar
CVE-2022-26377

mod_proxy_ajp: Possible request smuggling

EPSS 18.9%CWE-444
Em resumo

Uma falha no módulo mod_proxy_ajp do Apache HTTP Server permite que atacantes enviem requisições ocultas para servidores AJP de backend explorando como o módulo interpreta requisições HTTP de forma inconsistente. Isso pode levar a ações não autorizadas ou exposição de dados no servidor de backend.

Detalhe técnico

Vulnerabilidade de HTTP Request Smuggling no mod_proxy_ajp explora a interpretação inconsistente de requisições HTTP entre o proxy Apache e o servidor AJP de backend. Um atacante pode criar requisições HTTP maliciosas que são interpretadas de forma diferente pelo proxy e pelo backend, permitindo contrabando de requisições para executar comandos não intencionais no servidor AJP. Afeta Apache HTTP Server versão 2.4.53 e anteriores.

Resumo gerado e traduzido por IA a partir da descrição oficial.
Inconsistent Interpretation of HTTP Requests ('HTTP Request Smuggling') vulnerability in mod_proxy_ajp of Apache HTTP Server allows an attacker to smuggle requests to the AJP server it forwards requests to. This issue affects Apache HTTP Server Apache HTTP Server 2.4 version 2.4.53 and prior versions.
Produtos afetados
Apache Software Foundation · Apache HTTP Server

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://httpd.apache.org/security/vulnerabilities_24.htmlhttps://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/7QUGG2QZWHTITMABFLVXA4DNYUOTPWYQ/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/YPY2BLEVJWFH34AX77ZJPLD2OOBYR6ND/https://security.gentoo.org/glsa/202208-20https://security.netapp.com/advisory/ntap-20220624-0005/http://www.openwall.com/lists/oss-security/2022/06/08/2