CVE-2025-58098

Apache HTTP Server: Server Side Includes adds query string to #exec cmd=...

CVSS 8.3 HIGHEPSS 1.5%CWE-201

En resumen

Apache HTTP Server con Server Side Includes (SSI) habilitado pasa incorrectamente datos de la URL (query string) a comandos del shell ejecutados mediante directivas #exec, permitiendo que atacantes inyecten y ejecuten comandos arbitrarios en el servidor.

Detalle técnico

CVE-2025-58098 afecta Apache HTTP Server versiones anteriores a 2.4.66 cuando SSI y mod_cgid están habilitados. La vulnerabilidad reside en cómo los parámetros de query string se escapan para el shell y se pasan a directivas #exec cmd, posibilitando inyección de comandos. Un atacante puede elaborar query strings maliciosas para romper el contexto del comando intencional y ejecutar comandos shell arbitrarios con privilegios del proceso del servidor web.

Resumen generado y traducido por IA a partir de la descripción oficial.

Apache HTTP Server 2.4.65 and earlier with Server Side Includes (SSI) enabled and mod_cgid (but not mod_cgi) passes the shell-escaped query string to #exec cmd="..." directives. This issue affects Apache HTTP Server before 2.4.66. Users are recommended to upgrade to version 2.4.66, which fixes the issue.

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L

Productos afectados

Apache Software Foundation · Apache HTTP Server

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://httpd.apache.org/security/vulnerabilities_24.html http://www.openwall.com/lists/oss-security/2025/12/04/5