Apache - CVE-2026-44631
Date de publication :
Il s'agit d'une vulnérabilité dans la fonction ap_regname du cœur d'Apache HTTP Server, responsable du traitement des expressions régulières dans la configuration du serveur.
Apache HTTP Server est un serveur web open source multi-plateforme, l'un des plus déployés au monde. Il sert des contenus statiques et dynamiques via HTTP et HTTPS, et dispose d'une architecture modulaire permettant l'ajout de fonctionnalités via des modules (proxy, authentification, réécriture d'URL, SSL, etc.).
Un débordement de type signed char overflow lors du calcul d'un offset provoque une écriture en dehors des limites inférieures d'un tampon alloué sur le tas (heap underwrite). La vulnérabilité est déclenchée par une expression régulière spécialement conçue placée dans la configuration Apache. Selon la description de l'éditeur, la sévérité est classée low, ce qui indique que l'exploitation nécessite un accès préalable à la configuration du serveur.
Elle permet à un attaquant disposant d'un accès à la configuration d'altérer la mémoire et potentiellement de provoquer un crash du processus ou d'autres comportements indéterminés.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
• Atteinte à l'intégrité des données
• Déni de service (à distance)
Exploitation
CWE-124 : Buffer Underwrite ('Buffer Underflow')
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
Apache HTTP Server versions 2.4.0 jusqu'à 2.4.67