Apache http serverプロジェクトによる報告：

重要度最高：Apache HTTP Server2.4.49および2.4.50におけるパストラバーサルとリモートコードの実行（CVE-2021-41773の不完全な修正）（CVE-2021-42013）

Apache HTTP Server 2.4.50のCVE-2021-41773の修正が不十分であることが判明しました。攻撃者がパストラバーサル攻撃を使用して、エイリアスのようなディレクティブにより構成されたディレクトリ外のファイルにURLをマッピングする可能性があります。

これらのディレクトリ外のファイルが通常のデフォルト構成「require all denied」で保護されていない場合、これらのリクエストは成功する可能性があります。これらのエイリアスパスに対してCGIスクリプトも有効化されている場合、リモートコードの実行が可能になることがあります。

この問題はApache 2.4.49およびApache 2.4.50にのみ影響し、以前のバージョンには影響しません。

謝辞：Dreamlab TechnologiesのJuan Escobar氏、NULL Life CTF TeamのFernando Munoz氏、Shungo Kumasaka氏による報告

検出

FreeBSD：Apache httpd -- パストラバーサルとリモートコードの実行（d001c189-2793-11ec-8fb1-206a8a720317）

critical Nessus プラグイン ID 153983

バージョン 1.11