無料スキャン
分析待ちCVE-2026-24072

CVE-2026-24072: Privilege Escalation in Apache HTTP Server

プラットフォーム

apache

コンポーネント

apache-http-server

修正版

2.4.67

NVDで見る
保存

CVE-2026-24072 describes a privilege escalation vulnerability affecting Apache HTTP Server versions 2.4.0 through 2.4.66. This flaw allows local users with the ability to modify .htaccess files to read arbitrary files with the privileges of the httpd user, potentially leading to sensitive data exposure. The vulnerability has been resolved in version 2.4.67, and users are strongly advised to upgrade.

影響と攻撃シナリオ

CVE-2026-24072 は、Apache HTTP Server のバージョン 2.4.66 以前に影響します。この脆弱性により、ローカルの .htaccess 著者が httpd ユーザーの権限でファイルを読み取ることができます。これは、特権昇格のリスクをもたらします。なぜなら、.htaccess ファイルへのアクセス権を持つ攻撃者は、潜在的に機密情報にアクセスしたり、Web サーバーの権限でコマンドを実行したりする可能性があるからです。この脆弱性の重大度は、httpd ユーザーの権限や .htaccess ファイルの場所など、特定の環境によって異なります。この脆弱性は、ローカルシステムへのアクセスまたは .htaccess ファイルの変更能力を必要とするため、一部の環境では影響が制限されることに注意することが重要です。悪用が成功した場合、機密情報の開示やサーバーの動作の操作につながる可能性があります。

悪用の状況

この脆弱性は、悪意のある .htaccess ファイルが攻撃者に、通常は httpd ユーザーの範囲外にあるファイルを読み取ることができる場合に発生します。これは、.htaccess ファイル内の特定のディレクティブの処理における欠陥によって実現されます。攻撃者は、Web サーバーにアクセス可能なディレクトリに .htaccess ファイルを変更または作成する機能を必要とします。Web サーバーの動作を構成するために .htaccess ファイルが広く使用されている環境で、悪用が発生する可能性が高くなります。悪用の複雑さは、特定のサーバー構成と httpd ユーザーに割り当てられた権限によって異なります。この脆弱性には認証は必要なく、攻撃者にとってよりアクセスしやすくなっています。

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO

EPSS

0.06% (19% パーセンタイル)

影響を受けるソフトウェア

コンポーネントapache-http-server
ベンダーApache Software Foundation
最小バージョン2.4.0
最大バージョン2.4.66
修正版2.4.67

弱点分類 (CWE)

CWE-269

タイムライン

  1. 公開日
  2. 更新日
  3. EPSS 更新日

緩和策と回避策

CVE-2026-24072 を軽減するための推奨される解決策は、Apache HTTP Server をバージョン 2.4.67 以降にアップグレードすることです。このバージョンには、特権昇格の脆弱性を修正する修正が含まれています。アップグレードの前に、サーバーの完全なバックアップを作成し、既存のアプリケーションと構成との互換性を確保するために、テスト環境で新しいバージョンをテストすることをお勧めします。さらに、機密リソースへのアクセスを制限するために、.htaccess ファイルの権限をレビューおよび強化することが重要です。サーバーログを監視して、疑わしいアクティビティを検出することも推奨されるプラクティスです。この脆弱性に対する保護のための最も効果的な対策は、タイムリーなパッチ適用です。

修正方法翻訳中…

Actualice su instalación de Apache HTTP Server a la versión 2.4.67 o posterior para mitigar este riesgo. La actualización corrige una vulnerabilidad de elevación de privilegios que permite a los autores de .htaccess leer archivos con los privilegios del usuario httpd.

よくある質問

CVE-2026-24072 とは何ですか?(Apache HTTP Server)

.htaccess ファイルは、Apache サーバーで使用され、ディレクトリとファイルへのアクセスを制御し、Web サーバーの動作をカスタマイズするための構成ファイルです。

Apache HTTP Server の CVE-2026-24072 による影響を受けていますか?

特権昇格とは、攻撃者が通常は利用できないリソースまたは機能にアクセスできる能力を指します。

Apache HTTP Server の CVE-2026-24072 を修正するにはどうすればよいですか?

はい、通常はアップグレードを適用した後、変更が有効になるように Apache サーバーを再起動する必要があります。

CVE-2026-24072 は積極的に悪用されていますか?

Apache HTTP バージョン 2.4.67 は、Apache の公式ウェブサイトからダウンロードできます: https://httpd.apache.org/download.cgi

CVE-2026-24072 に関する Apache HTTP Server の公式アドバイザリはどこで確認できますか?

すぐにアップグレードできない場合は、.htaccess ファイルへのアクセスを制限し、サーバーログを監視して、疑わしいアクティビティを検出することを検討してください。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索
scanZone.liveBadgescanZone.eyebrow

今すぐ試す — アカウント不要

Upload any manifest (composer.lock, package-lock.json, WordPress plugin list…) or paste your component list. You get a vulnerability report instantly. Uploading a file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

手動スキャンSlack/メールアラートContinuous monitoringホワイトラベルレポート

依存関係ファイルをドラッグ&ドロップ

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...