La Apache Software Foundation ha solucionado múltiples vulnerabilidades en su popular servidor HTTP Apache. Las vulnerabilidades incluyen problemas de denegación de servicio (DoS), ejecución remota de código y acceso no autorizado.
Una de estas vulnerabilidades es una vulnerabilidad puede llevar a la exposición involuntaria de código fuente.
Está catalogada como CVE-2024-39884.
Análisis
La vulnerabilidad CVE-2024-39884, es descrita por Apache como: «Una regresión en el núcleo del servidor HTTP de Apache ignora algún uso de la configuración basada en contenido de los manejadores.»
Es decir, un fallo introducido por una actualización reciente permite que cuando algunas directivas como «AddType» son utilizadas bajo ciertas condiciones, puedan exponer el código fuente de algunos archivos.
Esta vulnerabilidad aún no tiene CVSS asociado, pero Apache, siguiendo su propio criterio, la ha catalogado como «Importante».
Recomendaciones
Actualizar a la versión 2.4.6.1
Referencias