CVE-2026-24072: Escalation de privilèges dans Apache HTTP Server
Plateforme
apache
Composant
apache-http-server
Corrigé dans
2.4.67
Une vulnérabilité d'escalation de privilèges a été découverte dans Apache HTTP Server, affectant les versions de 2.4.0 à 2.4.66. Cette faille permet à un utilisateur local disposant de la possibilité de modifier des fichiers .htaccess de lire des fichiers avec les privilèges de l'utilisateur httpd, potentiellement compromettant la confidentialité des données. La mise à jour vers la version 2.4.67 corrige ce problème.
Impact et Scénarios d'Attaque
Cette vulnérabilité permet à un attaquant local ayant un accès limité au système de lire des fichiers sensibles qui seraient normalement inaccessibles. Un attaquant pourrait exploiter cette faille pour accéder à des fichiers de configuration contenant des mots de passe, des clés API ou d'autres informations confidentielles. L'impact est limité à un accès local, mais la compromission des fichiers de configuration pourrait permettre un accès plus large au système. Bien que la description ne mentionne pas d'exploitation à distance, la lecture de fichiers de configuration pourrait révéler des informations permettant d'autres attaques.
Contexte d'Exploitation
La vulnérabilité a été publiée le 4 mai 2026. La probabilité d'exploitation est considérée comme faible à moyenne, car elle nécessite un accès local au système. Il n'y a pas d'indicateurs d'exploitation active à ce jour, ni de Proof of Concept (POC) publics largement disponibles. La vulnérabilité n'est pas répertoriée sur KEV (Kernel Exploit Vulnerability) ni n'a de score EPSS (Exploit Prediction Scoring System).
Renseignement sur les Menaces
Statut de l'Exploit
EPSS
0.06% (percentile 19%)
Logiciel Affecté
Classification de Faiblesse (CWE)
Chronologie
- Publiée
- Modifiée
- EPSS mis à jour
Mitigation et Contournements
La solution recommandée est de mettre à jour Apache HTTP Server vers la version 2.4.67, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution de contournement temporaire consiste à restreindre les autorisations des fichiers .htaccess pour empêcher la lecture de fichiers sensibles. L'utilisation d'un pare-feu applicatif web (WAF) peut aider à bloquer les tentatives d'exploitation. Vérifiez après la mise à jour que les fichiers .htaccess n'ont pas d'autorisations excessivement permissives.
Comment corrigertraduction en cours…
Actualice su instalación de Apache HTTP Server a la versión 2.4.67 o posterior para mitigar este riesgo. La actualización corrige una vulnerabilidad de elevación de privilegios que permite a los autores de .htaccess leer archivos con los privilegios del usuario httpd.
Questions fréquentes
Que signifie CVE-2026-24072 — Escalation de privilèges dans Apache HTTP Server ?
CVE-2026-24072 décrit une vulnérabilité d'escalation de privilèges dans Apache HTTP Server, permettant à un utilisateur local de lire des fichiers avec les privilèges de l'utilisateur httpd.
Suis-je affecté par CVE-2026-24072 dans Apache HTTP Server ?
Vous êtes affecté si vous utilisez Apache HTTP Server versions 2.4.0 à 2.4.66 et que vous autorisez les utilisateurs locaux à modifier les fichiers .htaccess.
Comment corriger CVE-2026-24072 dans Apache HTTP Server ?
La correction est de mettre à jour Apache HTTP Server vers la version 2.4.67. Si la mise à jour n'est pas possible immédiatement, restreindre les autorisations des fichiers .htaccess peut être une solution temporaire.
CVE-2026-24072 est-il activement exploité ?
À l'heure actuelle, il n'y a pas d'indications d'exploitation active de CVE-2026-24072, ni de Proof of Concept (POC) publics largement disponibles.
Où puis-je trouver l'avis officiel d'Apache pour CVE-2026-24072 ?
Consultez le site web d'Apache HTTP Server pour l'avis de sécurité officiel concernant CVE-2026-24072 : [https://httpd.apache.org/security/](https://httpd.apache.org/security/)
Ton projet est-il affecté ?
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Essayez maintenant — sans compte
scanZone.subtitle
Glissez-déposez votre fichier de dépendances
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...