漏洞信息

Apache HTTP Server是Apache软件基金会的一个开放源码的网页服务器软件，可以在大多数电脑操作系统中运行。由于其跨平台和安全性，被广泛使用，是最流行的Web服务器软件之一。它快速、可靠并且可通过简单的API扩展，将Perl／Python等解释器编译到服务器中。当启用 mod_proxy 以及某种形式的 RewriteRule 或 ProxyPassMatch 时，配置会受到影响，其中非特定模式与用户提供的请求目标 (URL) 数据的某些部分匹配，然后使用重新插入代理请求目标变量替换。

漏洞危害

请求拆分/走私可能会导致绕过代理服务器中的访问控制，将非预期的 URL 代理到现有的源服务器，以及缓存中毒。

漏洞复现及简易分析

斗象漏洞情报中心已复现此漏洞，详见下方截图。
由于mod_proxy和mod_rewrite或ProxyPassMatch在处理用户提供的请求目标（URL）数据时，使用了非特定的模式匹配，并使用变量替换将其重新插入到代理的请求目标中。这就可能导致请求目标被分割为两个或多个不同的请求，并发送到不同的服务器。

漏洞详情

漏洞分析和详细信息请参考斗象漏洞情报中心: https://vip.riskivy.com/detail/1633293487686422528

全部评论（0）最新

最热

情报星球官方

225情报

18简讯

Apache HTTP Server HTTP 请求走私漏洞(CVE-2023-25690)

漏洞等级

消息来源

漏洞编号

漏洞描述

漏洞信息

漏洞危害

漏洞复现及简易分析

漏洞详情

扫码关注情报星球