Resumen ejecutivo
La vulnerabilidad descubierta en Apache HTTP Server 2.4.59 y anteriores, asignada con una puntuación CVSS de 9.1, representa una amenaza crítica que requiere acción inmediata para su gestión. Esta vulnerabilidad, como resultado de una gestión incorrecta de las redirecciones en mod_rewrite, permite a un atacante acceder y asignar URL a ubicaciones de archivos del sistema que solo el servidor debería tener permiso para utilizar. Esto puede derivar en la ejecución no autorizada de código o en la divulgación del código fuente. Es imprescindible la pronta revisión y adecuación de las reglas de reescritura inseguras existentes para mitigar el riesgo asociado a esta vulnerabilidad.
Recursos afectados
- Apache HTTP Server (versión no especificada)
Análisis técnico
- CVE-2024-38475: El inadecuado escape de la salida en mod_rewrite en Apache HTTP Server 2.4.59 y versiones anteriores permite a un atacante asignar URL a ubicaciones de archivos del sistema que el servidor permite servir, pero a las que no se puede acceder de manera intencional o directa a través de ninguna URL, lo que resulta en la ejecución del código o la divulgación del código fuente. Las sustituciones en el contexto del servidor que utilizan referencias inversas o variables como primer segmento de la sustitución se ven afectadas. Este cambio romperá algunas reglas de reescritura inseguras y el indicador de reescritura "UnsafePrefixStat" se puede usar para reactivarse una vez que se asegure que la sustitución esté debidamente restringida.
- CWE-116
- CVSS: 9.1 (crítica)
- Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
- Explotación: Detectada
Mitigación / Solución
El fabricante Apache recomienda para mitigar o solucionar los problemas de seguridad con su producto HTTP Server (CVE-2024-38475), aplicar medidas de contención de acuerdo a las instrucciones proporcionadas por ellos mismos. Además, insta a seguir la guía aplicable BOD 22-01 para servicios en la nube. En caso de que no estén disponibles las medidas de mitigación, aconseja descontinuar el uso del producto. Para instrucciones más específicas, por favor, referirse a su sitio web oficial: https://httpd.apache.org/security/vulnerabilities_24.html.