远程主机上安装的 HTTP Server 版本受到 2025 年 7 月 CPU 公告中提及的多个漏洞影响。

  - 在 2.13.8 之前的 libxml2 和 2.14.2 之前的 2.14.x 中，xmlschemas.c 中的 xmlSchemaIDCFillNodeTables 存在基于堆的缓冲区读取不足问题。要利用此问题，必须根据包含特定身份限制的 XML 方案对特制的 XML 文档进行验证，或者必须使用特制的 XML 方案。(CVE-2025-32415)

  - Apache HTTP Server 的多个模块中包含 HTTP 响应拆分漏洞，攻击者可利用此漏洞将恶意响应标头注入后端应用程序，造成 HTTP 不同步攻击。建议用户升级为已修复此问题的 2.4.59 版。(CVE-2024-24795)

  - 在 Windows 上，Apache HTTP Server 中的 SSRF 漏洞导致或可通过 SSRF 和恶意请求或内容将 NTLM 哈希泄漏给恶意服务器。建议用户升级到已修复此问题的版本 2.4.60。注意：用于访问 UNC 路径的现有配置必须配置新指令 UNCList，以允许在请求处理期间进行访问。(CVE-2024-38472)

  - 2.4.59 及更早版本的 Apache HTTP Server 中的 mod_proxy 存在空指针取消引用漏洞，导致攻击者可以通过恶意请求造成服务器崩溃。建议用户升级为已修复此问题的 2.4.60 版。(CVE-2024-38477)

  - Apache HTTP Server 2.4.60 的核心中的回归问题会忽略处理程序的某些使用旧版基于内容类型的配置。AddType 和类似配置在某些情况下间接请求文件，导致本地内容的源代码泄露。例如，系统可能会提供 PHP 脚本，而非解释 PHP 脚本。建议用户升级为已修复此问题的 2.4.61 版。
    (CVE-2024-39884)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

检测

Oracle HTTP Server（2025 年 7 月 CPU）

critical Nessus 插件 ID 242272

版本 1.3

版本 1.2

版本 1.1

版本 1.3 Oct 30, 2025, 2:57 PM CVSS metrics ("CVSSv2 score" set to 10.0) CVSS metrics ("CVSSv2 vector" set to "CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C") CVSS metrics ("CVSSv3 score" set to 9.8) CVSS metrics ("CVSSv3 vector" set to "CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H") CVSSv2 score source (changed from "CVE-2025-32415" to "CVE-2024-56171") Exploit attributes ("Exploitability ease" changed from "No known exploits are available" to "Exploits are available") Plugin Feed: 202510301457
版本 1.2 Jul 18, 2025, 5:35 PM Plugin metadata (Add IAVM information) Plugin Feed: 202507181735
版本 1.1 Jul 18, 2025, 8:07 AM New Plugin Feed: 202507180807