Vulnerabilidad en Apache HTTP Server (CVE-2024-43394)

Gravedad:

Pendiente de análisis

Tipo:

CWE-918 Falsificación de solicitud en servidor (SSRF)

Fecha de publicación:

10/07/2025

Última modificación:

10/07/2025

Descripción

Server-Side Request Forgery (SSRF) en Apache HTTP Server en Windows permite filtrar hashes NTLM a un servidor malicioso mediante mod_rewrite o expresiones de Apache que pasan una entrada de solicitud no validada. Este problema afecta al servidor HTTP Apache desde la versión 2.4.0 hasta la 2.4.63. Nota: El proyecto del servidor HTTP Apache establecerá un estándar más estricto para la aceptación de informes de vulnerabilidad relacionados con SSRF mediante rutas UNC. El servidor ofrece protección limitada contra administradores que le indiquen que abra rutas UNC. Los servidores Windows deben limitar los hosts a los que se conectan mediante SMB según la naturaleza de la autenticación NTLM.

Impacto

Referencias a soluciones, herramientas e información

https://httpd.apache.org/security/vulnerabilities_24.html