Apache 2.4.x < 2.4.68 多个漏洞

high Web App Scanning 插件 ID 115263

语言：

简介

描述

根据其标题，远程主机上运行的 Apache 版本为低于 2.4.68 的 2.4.x。因此，该应用程序受到多个漏洞的影响：

- Apache HTTP Server 中因各目录配置中的 mod_ldap 而存在释放后使用漏洞。(CVE-2026-29167)

- 通过正向或反向代理配置列出 FTP 目录内容时，mod_proxy_ftp 的 HTML 目录列表生成中存在跨站脚本漏洞。(CVE-2026-29170)

- Apache HTTP Server mod_proxy_html 中的缓冲区溢出允许不受信任的后端进行攻击。(CVE-2026-34355)

- Apache HTTP Server 中包含恶意后端服务器和 ProxyPassReverseCookie 的基于堆的缓冲区溢出漏洞。(CVE-2026-34356)

- mod_dav_fs 中的路径处理问题允许 WebDAV 内容作者直接操纵受信任的 DAV 属性数据库，从而可能造成子进程崩溃。(CVE-2026-42535)

- Apache HTTP Server 中包含基于堆的缓冲区溢出漏洞（包含 mod_xml2enc、xml2StartParse 和不受信任的内容）。(CVE-2026-42536)

- Apache HTTP Server 中的越界读取漏洞（mod_headers 和 mod_mime 以及多种响应语言）。(CVE-2026-43951)

- Apache HTTP Server 中的错误特权管理漏洞允许本地 .htaccess 作者以 httpd 用户的特权读取文件。(CVE-2026-44119)

- Apache HTTP Server 中通过向攻击者控制的 OCSP 服务器发出出站 OCSP 请求而造成的缓冲区过度读取漏洞。(CVE-2026-44185)

- Apache HTTP Server 的 mod_proxy_ftp 模块中存在无法访问退出条件的循环漏洞，攻击者控制了后端 FTP 服务器。(CVE-2026-44186)

- Apache HTTP Server 在处理配置中构建的正则表达式时，存在缓冲区下溢漏洞。(CVE-2026-44631)

- Apache HTTP Server 的模块 mod_http2 在文件句柄耗尽时存在释放后使用漏洞。(CVE-2026-48913)

- Apache HTTP Server mod_http2 中的内存分配过大值漏洞导致通过恶意 HTTP 请求造成拒绝服务。(CVE-2026-49975)

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。