Apache 2.4.x < 2.4.68 多個弱點

high Web App Scanning Plugin ID 115263

語言:

概要

說明

根據其標題，遠端主機上執行的 Apache 版本是比 2.4.68 舊的 2.4.x 版。因此，會受到多個弱點影響：

- 在每個目錄設定中，具有 mod_ldap 的 Apache HTTP Server 中存在釋放後使用弱點。(CVE-2026-29167)

- 透過正向或反向 Proxy 設定列出 FTP 目錄內容時，mod_proxy_ftp 的 HTML 目錄清單產生中存在跨網站指令碼弱點。(CVE-2026-29170)

- Apache HTTP Server 中 mod_proxy_html 中的緩衝區溢位允許不受信任的後端發動攻擊。(CVE-2026-34355)

- Apache HTTP Server 中存在包含惡意後端伺服器和 ProxyPassReverseCookie 的堆積型緩衝區溢位弱點。(CVE-2026-34356)

- mod_dav_fs 中的路徑處理問題允許 WebDAV 內容作者直接操控受信任的 DAV 屬性資料庫，從而可能導致子處理程序當機。(CVE-2026-42535)

- Apache HTTP Server 中與 mod_xml2enc、xml2StartParse 及不受信任內容相關的堆積型緩衝區溢位弱點。(CVE-2026-42536)

- Apache HTTP Server 中與 mod_headers、mod_mime 及多種回應語言相關的超出邊界讀取弱點。(CVE-2026-43951)

- Apache HTTP Server 中的不當特權管理弱點，允許本機 .htaccess 作者以 httpd 使用者的特權讀取檔案。(CVE-2026-44119)

- Apache HTTP Server 中的緩衝區過度讀取弱點，由向攻擊者控制的 OCSP 伺服器傳送傳出 OCSP 要求導致。(CVE-2026-44185)

- Apache HTTP Server 的 mod_proxy_ftp 模組中存在迴圈包含無法到達的結束條件弱點，且存在攻擊者控制的後端 FTP 伺服器。(CVE-2026-44186)

- Apache HTTP Server 存在緩衝區向下寫入弱點，涉及組態中的特製規則運算式。(CVE-2026-44631)

- 當檔案控制代碼已用盡時，Apache HTTP Server 模組 mod_http2 中存在釋放後使用弱點。(CVE-2026-48913)

- Apache HTTP Server 的 mod_http2 中存在記憶體大小配置過大弱點，允許攻擊者透過惡意 HTTP 要求造成拒絕服務。(CVE-2026-49975)

請注意，掃描器程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。