CVE-2021-41773 vulnerabilidad de Apache que permite ejecutar path transversal, es urgente aplicar un parche

AS-096-2021

Fecha: 05/Oct/2021

Resumen:

En un ataque directory traversal, también conocido como path traversal, un atacante ingresa información en un formulario web, línea de dirección URL u otro método de input que le da acceso a un archivo o directorio al que no deberían tener acceso. Permitiéndole de esta manera leer archivos fuera del directorio raíz.

El fabricante publicó que la versión 2.4.49 es vulnerable a este fallo, el mismo que fue designado con CVE-2021-41773. El ataque puede ser perpetrado siempre que el parámetro "require all denied" no se haya seteado en el servidor web, lo que por desgracia no se incluye en las instalaciones por defecto.

Versiones anteriores no son vulnerables al fallo; además, el fabricante actualizó la versión a la 2.4.50 que parcha esta vulnerabilidad.

Se recomienda parchar inmediatamente las versiones con el fix publicado por el fabricante.

Referencias:

https://httpd.apache.org/security/vulnerabilities_24.html

https://www.bleepingcomputer.com/news/security/apache-fixes-actively-exploited-zero-day-vulnerability-patch-now/

https://www.cve.org/CVERecord?id=CVE-2021-41773

https://twitter.com/ptswarm/status/1445376079548624899?s=20