پلتفرم آسیبپذیر: سرورهایی که بر روی آنها نسخه آپاچی 2.4.49 نصب است.
تاریخ ارائه وصله امنیتی: 2021-10-05 نسخه 2.4.50
نوع آسیبپذیری:path traversal
دسترسی حاصل از استفاده از این آسیبپذیری: unauthenticated remote code execution(در صورت فعال بودن مد CGI)
شرح
نسخه 2.4.49 آپاچی به منظور بهبود url validation ارائه شده، اما همین تغییرات به وجود آمده در این نسخه سبب ایجاد آسیبپذیری CVE–2021–41773 گردیده است.
این آسیبپذیری از نوع path traversal میباشد، بدین معنا که مهاجم امکان دسترسی به مسیرها و پوشههای وبسرور و مسیرهای دیگر را، در سمت کاربر (Client-Side) به دست میآورد.
لازم به ذکر است در صورتی که قابلیت “Require all denied” در تنظیمات پیکربندی آپاچی (در این نسخه) فعال نباشد امکان دور زدن URL validation با استفاده از character encoding فراهم میشود و در صورت فعال بودن مد cgi از این آسیبپذیری برای دسترسی از راه دور (rce) نیز میتوان استفاده کرد.
نحوه وصله آسیبپذیری
به روزرسانی آپاچی به آخرین نسخه ارائه شده.