[TLP:CLEAR] Apache HTTP Server opravuje středně závažnou zranitelnost
Apache HTTP Server verzí 2.4.65 opravuje středně závažnou zranitelnost [1][2]. Oprava je k dispozici také v commitu 8abb3d0 [2].
Autentizovanému vzdálenému útočníkovi je kvůli logické chybě způsobující vyhodnocení výrazů v 'RewriteCond expr ...' [4] jako 'true' bez ohledu na skutečný obsah umožněno potenciálně obejít implementované bezpečnostní restrikce [1][5].
Zranitelnost se nachází v produktu Apache HTTP Server ve verzích ==2.4.64.
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L
Více informací:
- CVE-2025-54090 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-253: Incorrect Check of Function Return Value at cwe.mitre.org
Zranitelnost byla veřejně oznámena 23. 7. 2025.
Odkazy
- [1] https://nvd.nist.gov/vuln/detail/CVE-2025-54090
- [2] https://downloads.apache.org/httpd/Announcement2.4.html
- [3] https://github.com/apache/httpd/commit/8abb3d06b23975705ebcf4bf4476464fd0b9bd0b
- [4] https://httpd.apache.org/docs/2.4/mod/mod_rewrite.html
- [5] https://www.cybersecurity-help.cz/vdb/SB2025072350
Za CESNET-CERTS Michaela Ručková dne 24. 7. 2025.
