Se ha reportado un nuevo aviso de seguridad sobre dos vulnerabilidades que afectan a Apache HTTP Server, que permitirían a un atacante obtener acceso no autorizado a información confidencial, realizar ataques del tipo cache poisoning, entre otros.
Las vulnerabilidades reportadas se componen de 2 (dos) sin severidad asignada aún. Las mismas se detallan a continuación:
- CVE-2022-27522 sin severidad ni puntuación asignada aún. Esta vulnerabilidad se debe a una falla de seguridad en el módulo mod_proxy_uwsgi de Apache HTTP Server. Esto permitiría a un atacante remoto a través de la inyección de caracteres especialmente diseñados en las cabeceras HTTP, realizar ataques del tipo cache poisoning o cross-site scripting (XSS) para obtener acceso no autorizado a información confidencial en el sistema afectado.
- CVE-2023-25690 sin severidad ni puntuación asignada aún. Esta vulnerabilidad se debe a una falla de seguridad en el módulo mod_proxy de Apache HTTP Server. Esto permitiría a un atacante remoto a través del envío direcciones URLs especialmente diseñadas, obtener acceso no autorizado al servidor proxy, realizar ataques del tipo cache poisoning y request smuggling HTTP en el sistema afectado.
El producto afectado es:
- Apache HTTP Server, versión 2.4.30 hasta la 2.4.55.
- Apache HTTP Server, versión 2.4.0 hasta 2.4.55.
Recomendamos instalar la actualización correspondiente provista por Apache, mediante el siguiente enlace:
Referencias: