Vulnerabilidad en Apache HTTP Server (CVE-2025-23048)

Gravedad:

Pendiente de análisis

Tipo:

CWE-284 Control de acceso incorrecto

Fecha de publicación:

10/07/2025

Última modificación:

10/07/2025

Descripción

En algunas configuraciones de mod_ssl en Apache HTTP Server (versión 2.4.35 a 2.4.63), es posible que los clientes de confianza omitan el control de acceso mediante la reanudación de sesión TLS 1.3. Las configuraciones se ven afectadas cuando mod_ssl se configura para varios hosts virtuales, cada uno restringido a un conjunto diferente de certificados de cliente de confianza (por ejemplo, con una configuración SSLCACertificateFile/Path diferente). En tal caso, un cliente con acceso de confianza a un host virtual podría acceder a otro si SSLStrictSNIVHostCheck no está habilitado en ninguno de los hosts virtuales.

Impacto

Referencias a soluciones, herramientas e información

https://httpd.apache.org/security/vulnerabilities_24.html