Apache - CVE-2023-25690
Date de publication :
Date de mise à jour :
Un défaut dans les fichiers de configuration d’Apache HTTP Server permet à un attaquant non authentifié, en envoyant des requêtes spécifiquement forgées, de contourner le contrôle d’accès afin de mener des attaques de type web cache poisoning.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Contournement de la politique de sécurité
Exploitation
La vulnérabilité exploitée est du type
CWE-444: Inconsistent Interpretation of HTTP Requests ('HTTP Request/Response Smuggling')
Détails sur l'exploitation
• Vecteur d'attaque : Réseau.
• Complexité de l'attaque : Faible.
• Privilèges nécessaires pour réaliser l'attaque : Aucun.
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non.
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non.
Preuve de concept
Une preuve de concept est disponible en sources ouvertes.
Systèmes ou composants affectés
Apache HTTP Server versions 2.4.55 et antérieures
NetApp ONTAP 9 versions antérieures à 9.9.1P16
Oracle Hyperion Infrastructure Technology versions antérieures à 11.2.14.0.000
Solutions ou recommandations
Mettre à jour Apache HTTP Server vers la version 2.4.56 ou ultérieure.
Mettre à jour NetApp ONTAP 9 vers la version 9.9.1P16, 9.10.1P13, 9.11.1P10, 9.12.1P3 ou ultérieure.
Mettre à jour Oracle Hyperion Infrastructure Technology vers la version 11.2.14.0.000 ou ultérieure.
Des informations complémentaires sont disponibles dans le bulletin de NetApp.