一、 漏洞 CVE-2024-42516 基础信息
漏洞信息
# Apache HTTP Server : HTTP响应分离弱点
## 概述
HTTP响应拆分漏洞存在于Apache HTTP Server核心中,允许攻击者通过操纵应用程序的Content-Type响应头来拆分HTTP响应。
## 影响版本
Apache HTTP Server 2.4.59及之前版本。该漏洞在CVE-2023-38709中描述,但相关补丁并未解决该问题。建议升级到2.4.64版本,该版本修复了该问题。
## 细节
攻击者可以通过操纵Content-Type响应头来实现HTTP响应拆分,这意味着攻击者可以在服务器中注入恶意响应,从而可能执行恶意操作。
## 影响
此漏洞可能允许攻击者执行跨站脚本(XSS),或其他攻击,影响服务器的安全性。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Apache HTTP Server: HTTP response splitting
来源:美国国家漏洞数据库 NVD
漏洞描述信息
HTTP response splitting in the core of Apache HTTP Server allows an attacker who can manipulate the Content-Type response headers of applications hosted or proxied by the server can split the HTTP response.
This vulnerability was described as CVE-2023-38709 but the patch included in Apache HTTP Server 2.4.59 did not address the issue.
Users are recommended to upgrade to version 2.4.64, which fixes this issue.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
输入验证不恰当
来源:美国国家漏洞数据库 NVD
漏洞标题
Apache HTTP Server 输入验证错误漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Apache HTTP Server是美国阿帕奇(Apache)基金会的一款开源网页服务器。该服务器具有快速、可靠且可通过简单的API进行扩充的特点。 Apache HTTP Server存在输入验证错误漏洞,该漏洞源于HTTP响应拆分,可能导致攻击者操纵Content-Type响应头。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
输入验证错误
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-42516 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2024-42516 的情报信息
-
标题: Apache HTTP Server 2.4 vulnerabilities - The Apache HTTP Server Project -- 🔗来源链接
标签: vendor-advisory
- https://nvd.nist.gov/vuln/detail/CVE-2024-42516