← volver
CVE-2022-26377

mod_proxy_ajp: Possible request smuggling

EPSS 19.0%CWE-444
En resumen

Una falla en el módulo mod_proxy_ajp del Apache HTTP Server permite que atacantes envíen solicitudes ocultas a servidores AJP de backend explotando cómo el módulo interpreta las solicitudes HTTP de manera inconsistente. Esto puede llevar a acciones no autorizadas o exposición de datos en el servidor de backend.

Detalle técnico

Vulnerabilidad de HTTP Request Smuggling en mod_proxy_ajp explota la interpretación inconsistente de solicitudes HTTP entre el proxy Apache y el servidor AJP de backend. Un atacante puede crear solicitudes HTTP maliciosas que se interpretan de manera diferente por el proxy y el backend, permitiendo contrabando de solicitudes para ejecutar comandos no intencionados en el servidor AJP. Afecta a Apache HTTP Server versión 2.4.53 y anteriores.

Resumen generado y traducido por IA a partir de la descripción oficial.
Inconsistent Interpretation of HTTP Requests ('HTTP Request Smuggling') vulnerability in mod_proxy_ajp of Apache HTTP Server allows an attacker to smuggle requests to the AJP server it forwards requests to. This issue affects Apache HTTP Server Apache HTTP Server 2.4 version 2.4.53 and prior versions.
Productos afectados
Apache Software Foundation · Apache HTTP Server

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://httpd.apache.org/security/vulnerabilities_24.htmlhttps://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/7QUGG2QZWHTITMABFLVXA4DNYUOTPWYQ/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/YPY2BLEVJWFH34AX77ZJPLD2OOBYR6ND/https://security.gentoo.org/glsa/202208-20https://security.netapp.com/advisory/ntap-20220624-0005/http://www.openwall.com/lists/oss-security/2022/06/08/2