漏洞信息
# Apache HTTP服务器中mod_rewrite的漏洞,当替换的第一个段落与文件系统路径匹配时。
## 漏洞概述
Apache HTTP Server中的`mod_rewrite`模块在2.4.59及更早版本存在输出转义不当的问题,允许攻击者将URL映射到服务器允许提供但不直接可达的文件系统位置,从而导致代码执行或源代码披露。
## 影响版本
- Apache HTTP Server 2.4.59及更早版本
## 细节
在服务器上下文中使用后向引用或变量作为替换的第一部分的重写规则受到影响。部分不安全的`RewriteRules`在此更改后将无法正常工作,可以通过使用`UnsafePrefixStat`重写标志来恢复这些规则,前提是有效约束了替换操作。
## 影响
- 可能导致代码执行
- 可能导致源代码披露
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Apache HTTP Server weakness in mod_rewrite when first segment of substitution matches filesystem path.
漏洞描述信息
Improper escaping of output in mod_rewrite in Apache HTTP Server 2.4.59 and earlier allows an attacker to map URLs to filesystem locations that are permitted to be served by the server but are not intentionally/directly reachable by any URL, resulting in code execution or source code disclosure.
Substitutions in server context that use a backreferences or variables as the first segment of the substitution are affected. Some unsafe RewiteRules will be broken by this change and the rewrite flag "UnsafePrefixStat" can be used to opt back in once ensuring the substitution is appropriately constrained.
CVSS信息
N/A
漏洞类别
对输出编码和转义不恰当
漏洞标题
Apache HTTP Server 安全漏洞
漏洞描述信息
Apache HTTP Server是美国阿帕奇(Apache)基金会的一款开源网页服务器。该服务器具有快速、可靠且可通过简单的API进行扩充的特点。 Apache HTTP Server 2.4.59及之前版本存在安全漏洞,该漏洞源于输出转义不当,允许攻击者将URL映射无法通过任何URL直接访问的文件系统位置,从而导致代码执行或源代码泄露。
CVSS信息
N/A
漏洞类别
其他