Vulnerabilidad crítica en Apache Server v2.4.0 a la v2.4.55
AS-016-2023
Fecha: 29/Mar/2023
Resumen:
Una vulnerabilidad clasificada como crítica fue encontrada en algunas configuraciones del módulo mod_proxy de Apache Server desde la versión 2.4.0 hasta la 2.4.55 y se identifica con el CVE-2023-25690.
Las configuraciones se ven afectadas cuando mod_proxy está habilitado junto con alguna forma de RewriteRule o ProxyPassMatch, y mediante la manipulación de un input por parte del atacante se puede ocasionar la omisión de los controles de acceso en el servidor proxy, el envío de direcciones URL no deseadas a servidores de origen existentes y el envenenamiento de caché.
Al momento no se conoce un exploit público que explote la vulnerabilidad, pero se recomienda a los usuarios que actualicen al menos a la versión 2.4.56 de Apache HTTP Server.
Referencias:
https://httpd.apache.org/security/vulnerabilities_24.html
