检测

插件

最近更新时间

插件系列介绍

指标

风险暴露指标

Apache 2.4.x < 2.4.64 多个漏洞

critical Web App Scanning 插件 ID 114917

语言：

简介

Apache 2.4.x < 2.4.64 多个漏洞

描述

根据其标题，远程主机上运行的 Apache 版本为低于 2.4.64 的 2.4.x。因此，该应用程序受到多个漏洞的影响：

- Apache HTTP Server 核心中的 HTTP 响应拆分允许攻击者通过操作服务器托管或代理应用的内容类型响应头来拆分 HTTP 响应。（CVE-2024-42516）

- Apache HTTP Server中加载mod_proxy的服务器端请求伪造（SSRF）允许攻击者向攻击者控制的URL发送外发代理请求。（CVE-2024-43204）

- Windows 上的 Apache HTTP Server 中的服务器端请求伪造（SSRF）允许通过传递未经验证的请求输入的 mod_rewrite 或 apache 表达式，潜在地向恶意服务器泄露 NTLM 哈希值。（CVE-2024-43394）

- Apache HTTP Server 2.4.63 及更早版本mod_ssl用户提供数据的逃逸不足，使得不受信任的SSL/TLS客户端在某些配置中插入转义字符到日志文件中。（CVE-2024-47252）

- 在Apache HTTP Server 2.4.35 到的 2.4.62某些mod_ssl配置中，可信客户端通过TLS 1.3 会话恢复实现访问控制绕过。（CVE-2025-23048）

- 在某些代理配置中，不信任的客户端可能会触发针对Apache HTTP Server版本2.4.262.4.63的拒绝服务攻击，从而在mod_proxy_http2中断言。（CVE-2025-49630）

- 在Apache HTTP Server版本的某些mod_ssl配置中，到， 2.4.63HTTP非同步攻击允许中间人攻击者通过TLS升级劫持HTTP会话。（CVE-2025-49812）

- Apache HTTP Server 中有效生命周期漏洞后内存延迟发布。（CVE-2025-53020）请注意，扫描仪并未检测这些问题，而是仅依赖应用程序自报的版本号。

解决方案

升级至 Apache 2.4.64 或更高版本。

另见

https://archive.apache.org/dist/httpd/CHANGES_2.4.64

https://httpd.apache.org/security/vulnerabilities_24.html#2.4.64

插件详情

严重性: Critical

ID: 114917

类型: Version Based

系列: Component Vulnerability

发布时间: 2025/7/18

最近更新时间: 2025/7/18

扫描模板: api, basic, full, pci, scan

风险信息

VPR

风险因素: Medium

分数: 6.0

CVSS v2

风险因素: High

基本分数: 9.4

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:N

CVSS 分数来源: CVE-2025-23048

CVSS v3

风险因素: Critical

基本分数: 9.1

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

CVSS 分数来源: CVE-2025-23048

漏洞信息

CPE: cpe:2.3:a:apache:http_server:*:*:*:*:*:*:*:*

可利用: true

易利用性: Exploits are available

漏洞发布日期: 2025/2/11

参考资料信息

CVE: CVE-2024-42516, CVE-2024-43204, CVE-2024-43394, CVE-2024-47252, CVE-2025-23048, CVE-2025-49630, CVE-2025-49812, CVE-2025-53020

CWE: 117, 150, 20, 284, 287, 401, 617, 918

OWASP: 2010-A3, 2010-A4, 2010-A6, 2010-A8, 2013-A2, 2013-A4, 2013-A5, 2013-A7, 2013-A9, 2017-A2, 2017-A5, 2017-A6, 2017-A9, 2021-A1, 2021-A10, 2021-A3, 2021-A6, 2021-A7, 2025-A1, 2025-A5, 2025-A6, 2025-A7, 2025-A9

WASC: Application Misconfiguration, Denial of Service, Improper Input Handling, Improper Output Handling, Insufficient Authentication, Insufficient Authorization

CAPEC: 10, 100, 101, 104, 108, 109, 110, 114, 115, 120, 13, 135, 136, 14, 151, 153, 182, 19, 194, 209, 22, 23, 230, 231, 24, 250, 261, 267, 28, 3, 31, 42, 43, 441, 45, 46, 47, 473, 478, 479, 502, 503, 52, 53, 536, 546, 550, 551, 552, 556, 558, 562, 563, 564, 57, 578, 588, 593, 63, 633, 64, 650, 67, 7, 71, 72, 73, 78, 79, 8, 80, 81, 83, 85, 88, 9, 94

DISA STIG: APSC-DV-000460, APSC-DV-002560, APSC-DV-002630, APSC-DV-003235

HIPAA: 164.306(a)(1), 164.306(a)(2), 164.312(a)(1), 164.312(a)(2)(i)

ISO: 27001-A.13.1.1, 27001-A.14.1.2, 27001-A.14.1.3, 27001-A.14.2.5, 27001-A.18.1.3, 27001-A.6.2.2, 27001-A.9.1.2, 27001-A.9.4.1, 27001-A.9.4.4, 27001-A.9.4.5

NIST: sp800_53-AC-3, sp800_53-CM-6b, sp800_53-SI-10

OWASP API: 2019-API7, 2019-API8, 2023-API7, 2023-API8

OWASP ASVS: 4.0.2-1.4.2, 4.0.2-14.2.1, 4.0.2-5.1.3, 4.0.2-5.2.1, 4.0.2-5.2.6

PCI-DSS: 3.2-6.2, 3.2-6.5, 3.2-6.5.10, 3.2-6.5.8, 3.2-6.5.9