漏洞描述:

Apache HTTP Server是美国阿帕奇（Apache）基金会的一款开源网页服务器,Apache HTTP Server 2.4.59 及之前版本中 mod_rewrite模块存在替换编码问题,由于针对%3f的URL编码处理不当,攻击者可配置无法通过URL或仅作为CGI执行的脚本访问的目录,从而导致代码执行或源代码泄露,修复版本中通过默认禁用不安全的重写规则,增加UnsafeAllow3F选项来修复该漏洞。

影响范围:
apache2(-∞, 2.4.60-1)

http_server@[2.4.0, 2.4.60)

修复方案:
将组件apache2升级至2.4.60-1及以上版本

将组件http_server升级至2.4.60及以上版本

2.CVE-2024-38475

漏洞描述:
Apache HTTP Server是美国阿帕奇（Apache）基金会的一款开源网页服务器,Apache HTTP Server 2.4.59 及更早版本中mod_rewrite模块在处理URL 重写时,如果使用反向引用或变量作为替换的第一部分,可能会导致输出转义不当,攻击者可借助此漏洞将URL映射到不应该被用户访问的文件系统位置,从而导致代码执行或源代码泄露,修复版本中通过默认禁用掉不安全的重写规则,增加UnsafePrefixStat选项来修复该漏洞。

影响范围:
apache2(-∞, 2.4.60-1)

修复方案:
将组件apache2升级至2.4.60-1及以上版本

感谢您抽出 .. 来阅读本文

【原文来源：飓风网络安全】

本文内容所包含内容仅限于学习和研究目的。这些内容源自公开的渠道搜集而来，目的是为帮助安全研究人员用于更好地理解和分析潜在的安全问题。

郑重提示：未经授权地利用可能涉及非法活动并导致法律责任和道德问题。请遵循适用的法律法规和道德准则。任何未经授权使用这些内容而导致的后果将由使用者自行承担。本文作者及安小圈不承担因使用本文内容而导致的任何法律问题、损害或责任。请详细阅读并理解这份免责声明。您将被视为已接受并同意遵守本免责声明所有条款和条件。

一周回顾
	【HVV】在即，盘点 | 极具威胁的勒索软件组织 TOP 8
	迎战护网HVV：6大常见的网站安全威胁及防范
	【渗透】渗透测试中：Zui容易被利用的10大安全弱点
	【漏洞预警】 Microsoft Windows WiFi Driver 输入验证错误漏洞  (CVE-2024-30078)
	【新】 华硕曝高危漏洞 7 款路由器
	【漏洞预警】 Fortinet FortiSIEM命令注入漏洞 （CVE-2024-23109）
	【技术分享】OneNote 作为恶意软件分发新渠道持续增长
	【漏洞预警】VMware VCenter Server 缓冲区溢出
	红队视角！ 2024 | 国家级攻防演练100 +必修高危漏洞合集(可下载)
	【干货】2024 攻防演练 · 期间 | 需关注的高危漏洞清单
	CISA 称 | Windows 漏洞可能被利用于勒索软件攻击
	【风险提示】OpenSSH 远程代码执行漏洞 （CVE-2024-6387）
	【HVV】2024 | 常用网站
	【漏洞】Black Hat 2024： 5G技术存在漏洞，易被绕过和DoS攻击
	【风险】 著名远程访问软件公司网络遭APT攻击，软件部署25亿台设备上
	【恶意软件】Rafel RAT： 可能影响39亿台旧安卓手机
	【25日】行业曝光 | 伪装成“路由器产品介绍”的钓鱼文档，恶意木马 SquidLoader：不仅骗钱，还骗你帮他“洗钱”
	专攻【中文用户！】| 黑客组织Void Arachne夹带木马推广Deepfake和AI滥用
	【漏洞】新的PHP漏洞出现！Windows服务器暴露
	攻防演练在即， 10个物理安全问题不容忽视