CVE-2026-24072: Privilege Escalation in Apache HTTP Server
Platform
apache
Component
apache-http-server
Opgelost in
2.4.67
CVE-2026-24072 beschrijft een privilege escalatie kwetsbaarheid in Apache HTTP Server. Deze kwetsbaarheid stelt lokale .htaccess auteurs in staat om bestanden te lezen met de privileges van de httpd gebruiker, wat potentieel tot ongeautoriseerde toegang tot gevoelige informatie kan leiden. De kwetsbaarheid treft versies 2.4.0 tot en met 2.4.66 van Apache HTTP Server. Een upgrade naar versie 2.4.67 is beschikbaar om dit probleem te verhelpen.
Impact en Aanvalsscenarios
Deze kwetsbaarheid maakt het mogelijk voor een aanvaller met toegang tot een .htaccess bestand om gevoelige bestanden te lezen die normaal gesproken buiten bereik zouden moeten zijn. Dit kan leiden tot het blootleggen van configuratiebestanden, wachtwoorden, API sleutels of andere vertrouwelijke gegevens. De impact is vooral groot in omgevingen waar .htaccess bestanden worden gebruikt voor authenticatie of autorisatie, omdat een aanvaller deze kwetsbaarheid kan misbruiken om toegang te krijgen tot resources die ze niet zouden mogen benaderen. Het misbruik van deze kwetsbaarheid kan leiden tot een compromittering van de server en de daaraan gekoppelde data. Hoewel de kwetsbaarheid lokaal is, kan een aanvaller die al toegang heeft tot de server, deze kwetsbaarheid gebruiken om hun privileges te verhogen.
Uitbuitingscontext
Op dit moment is er geen publieke exploit code beschikbaar voor CVE-2026-24072. De kwetsbaarheid is recentelijk gepubliceerd (2026-05-04) en de ernst wordt nog geëvalueerd. Er zijn geen bekende actieve campagnes gerelateerd aan deze kwetsbaarheid. Het is echter raadzaam om proactieve maatregelen te nemen om de kwetsbaarheid te mitigeren, aangezien de beschikbaarheid van exploits in de toekomst kan toenemen.
Dreigingsinformatie
Exploit Status
EPSS
0.06% (19% percentiel)
Getroffen Software
Zwakheidsclassificatie (CWE)
Tijdlijn
- Gepubliceerd
- Gewijzigd
- EPSS bijgewerkt
Mitigatie en Workarounds
De primaire mitigatie voor CVE-2026-24072 is het upgraden van Apache HTTP Server naar versie 2.4.67 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het beperken van de toegang tot .htaccess bestanden of het uitschakelen van de .htaccess functionaliteit indien deze niet essentieel is. WAF's kunnen worden geconfigureerd om pogingen tot het lezen van bestanden via .htaccess te detecteren en te blokkeren, maar dit is geen vervanging voor een upgrade. Controleer de Apache configuratie om te bevestigen dat de AllowOverride directive correct is ingesteld en dat onnodige overschrijvingen worden voorkomen. Na de upgrade, controleer de Apache logbestanden op verdachte activiteit gerelateerd aan .htaccess bestanden.
Hoe te verhelpenwordt vertaald…
Actualice su instalación de Apache HTTP Server a la versión 2.4.67 o posterior para mitigar este riesgo. La actualización corrige una vulnerabilidad de elevación de privilegios que permite a los autores de .htaccess leer archivos con los privilegios del usuario httpd.
Veelgestelde vragen
Wat is CVE-2026-24072 — Privilege Escalation in Apache HTTP Server?
CVE-2026-24072 is een kwetsbaarheid in Apache HTTP Server waardoor lokale .htaccess auteurs bestanden kunnen lezen met de privileges van de httpd gebruiker. Dit kan leiden tot ongeautoriseerde toegang tot gevoelige informatie.
Am I affected by CVE-2026-24072 in Apache HTTP Server?
U bent mogelijk getroffen als u Apache HTTP Server gebruikt in versie 2.4.0 tot en met 2.4.66 en .htaccess bestanden gebruikt. Controleer uw versie en upgrade indien nodig.
How do I fix CVE-2026-24072 in Apache HTTP Server?
De aanbevolen oplossing is het upgraden van Apache HTTP Server naar versie 2.4.67 of hoger. Indien een upgrade niet direct mogelijk is, overweeg dan mitigatie maatregelen zoals het beperken van de toegang tot .htaccess bestanden.
Is CVE-2026-24072 being actively exploited?
Op dit moment zijn er geen bekende actieve campagnes gerelateerd aan deze kwetsbaarheid, maar het is raadzaam om proactieve maatregelen te nemen.
Where can I find the official Apache HTTP Server advisory for CVE-2026-24072?
Raadpleeg de officiële Apache HTTP Server website voor de meest recente informatie en advisories: https://httpd.apache.org/security/
Is jouw project getroffen?
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Probeer het nu — geen account
Upload een manifest (composer.lock, package-lock.json, WordPress pluginlijst…) of plak uw componentenlijst. U ontvangt direct een kwetsbaarheidsrapport. Een bestand uploaden is slechts het begin: met een account krijgt u continue monitoring, Slack/e-mail alerts, multi-project en white-label rapporten.
Sleep uw afhankelijkheidsbestand hierheen
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...