Se ha confirmado la detección de al menos cuatro vulnerabilidades en Apache HTTP Server. Según especialistas en seguridad informática, la explotación exitosa de estas fallas permitiría el despliegue de múltiples escenarios de hacking.
A continuación se presentan breves descripciones de las fallas reportadas, además de sus respectivas claves de identificación y puntajes asignados según el Common Vulnerability Scoring System (CVSS).
CVE-2022-23943: Un error de límite al procesar entradas no verificadas en mod_sed permitiría a los actores de amenazas remotos desencadenar una escritura fuera de los límites y ejecutar código arbitrario en el sistema afectado.
La falla recibió un puntaje CVSS de 8.5/10 y se le considera un error crítico de seguridad.
CVE-2022-22721: Un error de límite dentro de LimitXMLRequestBody permitiría a los actores de amenazas remotos desencadenar un escenario de corrupción de memoria y ejecución de código arbitrario en el sistema comprometido.
La falla recibió un puntaje CVSS de 8.5/10 y su explotación exitosa podría resultar en un compromiso completo del sistema afectado.
CVE-2022-22720: La validación incorrecta de las solicitudes HTTP permitiría a los hackers remotos enviar solicitudes HTTP especialmente diseñadas al servidor afectado para el despliegue de ataques de contrabando de encabezados HTTP arbitrarios.
Esta es una falla de severidad media y recibió un puntaje CVSS de 5.3/10.
CVE-2022-22719: El uso de un valor no inicializado en r:parsebody permitiría a los actores de amenazas remotos pasar entradas especialmente diseñadas a la aplicación afectada y desplegar ataques de denegación de servicio (DoS).
La falla recibió un puntaje CVSS de 6.5/10.
Según el reporte, las vulnerabilidades residen en todas las versiones de Apache HTTP Server entre v2.4.0 y v2.4.52.
Si bien las fallas pueden ser explotadas por actores de amenazas no autenticados, hasta el momento no se han detectado intentos de explotación activa. Aún así, los especialistas en seguridad informática recomiendan a los usuarios de implementaciones afectadas actualizar a la brevedad.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).