ALT-PU-2025-15460-4

Серьёзность:

Закрытые проблемы (10)

BDU:2025-15293

HIGH7.5

Уязвимость веб-сервера Apache HTTP Server, связанная с недостаточной проверкой запросов на стороне сервера, позволяющая нарушителю получить доступ к NTLM-хэшам

Опубликовано: 2025-12-08Изменено: 2026-03-11

CVSS 3.xВЫСОКАЯ 7.5

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

CVSS 2.0ВЫСОКАЯ 7.8

CVSS:2.0/AV:N/AC:L/Au:N/C:C/I:N/A:N

Ссылки

CVE-2025-59775

BDU:2025-15635

HIGH8.3

Уязвимость модуля mod_cgid веб-сервера Apache HTTP Server, позволяющая нарушителю выполнить произвольный код

Опубликовано: 2025-12-12Изменено: 2026-04-20

CVSS 3.xВЫСОКАЯ 8.3

CVSS:3.x/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L

CVSS 2.0ВЫСОКАЯ 8.7

CVSS:2.0/AV:N/AC:L/Au:S/C:C/I:C/A:P

Ссылки

CVE-2025-58098

BDU:2025-15636

HIGH7.5

Уязвимость модуля mod_md веб-сервера Apache HTTP Server, позволяющая нарушителю вызвать отказ в обслуживании

Опубликовано: 2025-12-12Изменено: 2026-03-17

CVSS 3.xВЫСОКАЯ 7.5

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

CVSS 2.0ВЫСОКАЯ 7.8

CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:C

Ссылки

CVE-2025-55753

BDU:2025-15637

MEDIUM6.5

Уязвимость веб-сервера Apache HTTP Server, связанная с непринятием мер по нейтрализации специальных управляющих элементов, позволяющая нарушителю оказать влияние на конфиденциальность и целостность защищаемой информации

Опубликовано: 2025-12-12Изменено: 2026-04-20

CVSS 3.xСРЕДНЯЯ 6.5

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N

CVSS 2.0СРЕДНЯЯ 6.4

CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:P/A:N

Ссылки

CVE-2025-65082

BDU:2025-15638

MEDIUM5.4

Уязвимость модуля mod_userdir веб-сервера Apache HTTP Server, позволяющая нарушителю повысить свои привилегии и выполнить произвольный код

Опубликовано: 2025-12-12Изменено: 2026-04-20

CVSS 3.xСРЕДНЯЯ 5.4

CVSS:3.x/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L

CVSS 2.0СРЕДНЯЯ 5.5

CVSS:2.0/AV:N/AC:L/Au:S/C:N/I:P/A:P

Ссылки

CVE-2025-66200

CVE-2025-55753

HIGH7.5

An integer overflow in the case of failed ACME certificate renewal leads, after a number of failures (~30 days in default configurations), to the backoff timer becoming 0. Attempts to renew the certificate then are repeated without delays until it succeeds. This issue affects Apache HTTP Server: from 2.4.30 before 2.4.66. Users are recommended to upgrade to version 2.4.66, which fixes the issue.

Опубликовано: 2025-12-05Изменено: 2025-12-10

CVSS 3.xВЫСОКАЯ 7.5

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Ссылки

CVE-2025-58098

HIGH8.3

Apache HTTP Server 2.4.65 and earlier with Server Side Includes (SSI) enabled and mod_cgid (but not mod_cgi) passes the shell-escaped query string to #exec cmd="..." directives. This issue affects Apache HTTP Server before 2.4.66. Users are recommended to upgrade to version 2.4.66, which fixes the issue.

Опубликовано: 2025-12-05Изменено: 2025-12-08

CVSS 3.xВЫСОКАЯ 8.3

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L

Ссылки

CVE-2025-59775

HIGH7.5

Server-Side Request Forgery (SSRF) vulnerability in Apache HTTP Server on Windows with AllowEncodedSlashes On and MergeSlashes Off allows to potentially leak NTLM hashes to a malicious server via SSRF and malicious requests or content Users are recommended to upgrade to version 2.4.66, which fixes the issue.

Опубликовано: 2025-12-05Изменено: 2025-12-10

CVSS 3.xВЫСОКАЯ 7.5

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Ссылки

CVE-2025-65082

MEDIUM6.5

Improper Neutralization of Escape, Meta, or Control Sequences vulnerability in Apache HTTP Server through environment variables set via the Apache configuration unexpectedly superseding variables calculated by the server for CGI programs. This issue affects Apache HTTP Server from 2.4.0 through 2.4.65. Users are recommended to upgrade to version 2.4.66 which fixes the issue.

Опубликовано: 2025-12-05Изменено: 2025-12-10

CVSS 3.xСРЕДНЯЯ 6.5

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N

Ссылки

CVE-2025-66200

MEDIUM5.4

mod_userdir+suexec bypass via AllowOverride FileInfo vulnerability in Apache HTTP Server. Users with access to use the RequestHeader directive in htaccess can cause some CGI scripts to run under an unexpected userid. This issue affects Apache HTTP Server: from 2.4.7 through 2.4.65. Users are recommended to upgrade to version 2.4.66, which fixes the issue.

Опубликовано: 2025-12-05Изменено: 2025-12-10

CVSS 3.xСРЕДНЯЯ 5.4

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L

Ссылки

Закрытые ошибки (1)

Ошибка #51050

Обновление пакета apache2 в ветке c10f2

Закрытые проблемы (10)

Уязвимость веб-сервера Apache HTTP Server, связанная с недостаточной проверкой запросов на стороне сервера, позволяющая нарушителю получить доступ к NTLM-хэшам

Уязвимость модуля mod_cgid веб-сервера Apache HTTP Server, позволяющая нарушителю выполнить произвольный код

Уязвимость модуля mod_md веб-сервера Apache HTTP Server, позволяющая нарушителю вызвать отказ в обслуживании

Уязвимость модуля mod_userdir веб-сервера Apache HTTP Server, позволяющая нарушителю повысить свои привилегии и выполнить произвольный код

Закрытые ошибки (1)

[FR] Предлагается изменить дефолтное содержимое конфигурационного файла /etc/httpd2/conf/sites-available/default_https.conf