Vulnérabilité dans Apache
Date de publication :
Le protocole Apache JServ (Apache JServ Protocol en anglais, abrégé en AJP) est un protocole qui permet de rediriger les requêtes entrantes d'un serveur web vers un serveur d'applications qui se trouve derrière celui-ci.
CVE-2022-26377[Score CVSS v3.1: 7.3]
Une erreur d’interprétation des requêtes http par le module mod_proxy_ajp du serveur Apache a été découverte. A travers le serveur Apache, un attaquant pourrait envoyer des requêtes non contrôlées au serveur applicatif.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
-
Envoi de requête HTTP illégitime au serveur avec potentiel contournement des mesures de sécurité en place
Criticité
-
Score CVSS v3.1: 7.3
La faille est activement exploitée
-
Non
Un correctif existe
-
Oui
Une mesure de contournement existe
-
Non
La vulnérabilité exploitée est du type
CWE-444: Inconsistent Interpretation of HTTP Requests ('HTTP Request Smuggling')
Détails sur l’exploitation
-
Vecteur d’attaque : Réseau.
Complexité de l’attaque : Facile.
Privilèges nécessaires pour réaliser l’attaque : Aucun.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Composants vulnérables
Les produits suivants sont affectés par cette vulnérabilité :
-
Versions Apache Server 2.4.53 et antérieures
Solutions ou recommandations
- Il est recommandé de mettre à jour vers la dernière version de HTTP Server 2.4.54.