Inicio / Alerta Temprana / Avisos Seguridad / Limitación incorrecta de nombre de ruta a un directorio restringido en Apache HTTP Server 2.4.49

Limitación incorrecta de nombre de ruta a un directorio restringido en Apache HTTP Server 2.4.49

Fecha de publicación: 
06/10/2021
Importancia: 
5 - Crítica
Recursos afectados: 

Apache HTTP Server, versión 2.4.49.

Descripción: 

El investigador Ash Daulton, junto con el equipo de seguridad de cPanel, ha reportado a Apache una vulnerabilidad de severidad alta que podría permitir a un atacante exfiltrar información.

Esta vulnerabilidad está siendo explotada activamente.

Solución: 

Inicialmente era actualizar a la versión 2.4.50, pero posterioremente se descubrió que era insuficiente, al detectar una nueva vulnerabilidad (CVE-2021-42013), por lo que se debe actualizar a 2.4.51.

Detalle: 

La versión 2.4.49 de Apache HTTP Server presenta una vulnerabilidad de limitación incorrecta de una ruta a un directorio restringido (path traversal), lo que podría permitir a un atacante a acceder -si no tiene configurada la opción “require all denied” - a archivos fuera del directorio raíz de la web, así como ver el código fuente de los scripts CGI. Se ha asignado el identificador CVE-2021-41773 para esta vulnerabilidad.

Encuesta valoración