Apache HTTP Server是一个开源、跨平台的Web服务器,它在全球范围内被广泛使用。
2021年10月5日,Apache发布更新公告,修复了Apache HTTP Server2.4.49中的一个路径遍历和文件泄露漏洞(CVE-2021-41773)。
攻击者可以通过路径遍历攻击将 URL 映射到预期文档根目录之外的文件,如果文档根目录之外的文件不受“requireall denied”访问控制参数的保护(默认禁用),则这些恶意请求就会成功。除此之外,该漏洞还可能会导致泄漏 CGI 脚本等解释文件的来源。
Shodan搜索显示,全球部署有超过十万个,其中许多使用默认配置的服务器中可能存
在此漏洞,并且此漏洞目前已被广泛利用,建议相关用户尽快更新。