ALT-PU-2025-15460-4

Severity:

Closed issues (10)

BDU:2025-15293

HIGH7.5

Уязвимость веб-сервера Apache HTTP Server, связанная с недостаточной проверкой запросов на стороне сервера, позволяющая нарушителю получить доступ к NTLM-хэшам

Published: 2025-12-08Modified: 2026-03-11

CVSS 3.xHIGH 7.5

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

CVSS 2.0HIGH 7.8

CVSS:2.0/AV:N/AC:L/Au:N/C:C/I:N/A:N

References

CVE-2025-59775

BDU:2025-15635

HIGH8.3

Уязвимость модуля mod_cgid веб-сервера Apache HTTP Server, позволяющая нарушителю выполнить произвольный код

Published: 2025-12-12Modified: 2026-04-20

CVSS 3.xHIGH 8.3

CVSS:3.x/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L

CVSS 2.0HIGH 8.7

CVSS:2.0/AV:N/AC:L/Au:S/C:C/I:C/A:P

References

CVE-2025-58098

BDU:2025-15636

HIGH7.5

Уязвимость модуля mod_md веб-сервера Apache HTTP Server, позволяющая нарушителю вызвать отказ в обслуживании

Published: 2025-12-12Modified: 2026-03-17

CVSS 3.xHIGH 7.5

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

CVSS 2.0HIGH 7.8

CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:C

References

CVE-2025-55753

BDU:2025-15637

MEDIUM6.5

Уязвимость веб-сервера Apache HTTP Server, связанная с непринятием мер по нейтрализации специальных управляющих элементов, позволяющая нарушителю оказать влияние на конфиденциальность и целостность защищаемой информации

Published: 2025-12-12Modified: 2026-04-20

CVSS 3.xMEDIUM 6.5

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N

CVSS 2.0MEDIUM 6.4

CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:P/A:N

References

CVE-2025-65082

BDU:2025-15638

MEDIUM5.4

Уязвимость модуля mod_userdir веб-сервера Apache HTTP Server, позволяющая нарушителю повысить свои привилегии и выполнить произвольный код

Published: 2025-12-12Modified: 2026-04-20

CVSS 3.xMEDIUM 5.4

CVSS:3.x/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L

CVSS 2.0MEDIUM 5.5

CVSS:2.0/AV:N/AC:L/Au:S/C:N/I:P/A:P

References

CVE-2025-66200

CVE-2025-55753

HIGH7.5

An integer overflow in the case of failed ACME certificate renewal leads, after a number of failures (~30 days in default configurations), to the backoff timer becoming 0. Attempts to renew the certificate then are repeated without delays until it succeeds. This issue affects Apache HTTP Server: from 2.4.30 before 2.4.66. Users are recommended to upgrade to version 2.4.66, which fixes the issue.

Published: 2025-12-05Modified: 2025-12-10

CVSS 3.xHIGH 7.5

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

References

CVE-2025-58098

HIGH8.3

Apache HTTP Server 2.4.65 and earlier with Server Side Includes (SSI) enabled and mod_cgid (but not mod_cgi) passes the shell-escaped query string to #exec cmd="..." directives. This issue affects Apache HTTP Server before 2.4.66. Users are recommended to upgrade to version 2.4.66, which fixes the issue.

Published: 2025-12-05Modified: 2025-12-08

CVSS 3.xHIGH 8.3

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L

References

CVE-2025-59775

HIGH7.5

Server-Side Request Forgery (SSRF) vulnerability in Apache HTTP Server on Windows with AllowEncodedSlashes On and MergeSlashes Off allows to potentially leak NTLM hashes to a malicious server via SSRF and malicious requests or content Users are recommended to upgrade to version 2.4.66, which fixes the issue.

Published: 2025-12-05Modified: 2025-12-10

CVSS 3.xHIGH 7.5

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

References

CVE-2025-65082

MEDIUM6.5

Improper Neutralization of Escape, Meta, or Control Sequences vulnerability in Apache HTTP Server through environment variables set via the Apache configuration unexpectedly superseding variables calculated by the server for CGI programs. This issue affects Apache HTTP Server from 2.4.0 through 2.4.65. Users are recommended to upgrade to version 2.4.66 which fixes the issue.

Published: 2025-12-05Modified: 2025-12-10

CVSS 3.xMEDIUM 6.5

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N

References

CVE-2025-66200

MEDIUM5.4

mod_userdir+suexec bypass via AllowOverride FileInfo vulnerability in Apache HTTP Server. Users with access to use the RequestHeader directive in htaccess can cause some CGI scripts to run under an unexpected userid. This issue affects Apache HTTP Server: from 2.4.7 through 2.4.65. Users are recommended to upgrade to version 2.4.66, which fixes the issue.

Published: 2025-12-05Modified: 2025-12-10

CVSS 3.xMEDIUM 5.4

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L

References

Closed bugs (1)

Bug #51050

Package update apache2 in branch c10f2

Closed issues (10)

Уязвимость веб-сервера Apache HTTP Server, связанная с недостаточной проверкой запросов на стороне сервера, позволяющая нарушителю получить доступ к NTLM-хэшам

Уязвимость модуля mod_cgid веб-сервера Apache HTTP Server, позволяющая нарушителю выполнить произвольный код

Уязвимость модуля mod_md веб-сервера Apache HTTP Server, позволяющая нарушителю вызвать отказ в обслуживании

Уязвимость модуля mod_userdir веб-сервера Apache HTTP Server, позволяющая нарушителю повысить свои привилегии и выполнить произвольный код

Closed bugs (1)

[FR] Предлагается изменить дефолтное содержимое конфигурационного файла /etc/httpd2/conf/sites-available/default_https.conf