Vulnerabilidad en mod_proxy_cluster (CVE-2024-10306)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
23/04/2025
Última modificación:
01/07/2025
Descripción
Se encontró una vulnerabilidad en mod_proxy_cluster. El problema radica en que la directiva debería reemplazarse por la directiva , ya que esta no restringe el acceso a IP/host como sugiere `Require ip IP_ADDRESS`. Esto significa que cualquier persona con acceso al host podría enviar solicitudes MCMP que podrían resultar en la adición, eliminación o actualización de nodos para el balanceo. Sin embargo, este host no debería ser accesible a la red pública, ya que no atiende el tráfico general.
Impacto
Puntuación base 3.x
5.40
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://access.redhat.com/errata/RHBA-2025:2973
- https://access.redhat.com/errata/RHBA-2025:5309
- https://access.redhat.com/errata/RHSA-2025:9434
- https://access.redhat.com/errata/RHSA-2025:9466
- https://access.redhat.com/errata/RHSA-2025:9997
- https://access.redhat.com/security/cve/CVE-2024-10306
- https://bugzilla.redhat.com/show_bug.cgi?id=2321302