• 漏洞编号：CVE-2024-38475
• 漏洞等级：高危
• 漏洞标签：发布预警、公开漏洞
• 发布时间：2024-07-02

漏洞描述

Apache HTTP Server是美国阿帕奇（Apache）基金会的一款开源网页服务器。 Apache HTTP Server 2.4.59 及更早版本中 mod\_rewrite 模块在处理 URL 重写时，如果使用反向引用或变量作为替换的第一部分，可能会导致输出转义不当，攻击者可借助此漏洞将 URL 映射到不应该被用户访问的文件系统位置，从而导致代码执行或源代码泄露。 修复版本中通过默认禁用掉不安全的重写规则，增加 UnsafePrefixStat 选项来修复该漏洞。

修复建议

暂无

参考链接

https://www.oscs1024.com/hd/MPS-5cva-8dzj

https://github.com/apache/httpd/commit/9a6157d1e2f7ab15963020381054b48782bc18cf

https://httpd.apache.org/security/vulnerabilities_24.html

https://www.oscs1024.com/hd/MPS-5cva-8dzj