CVE-2026-24072: Escalation de Privilégio no Apache HTTP Server
Plataforma
apache
Componente
apache-http-server
Corrigido em
2.4.67
Uma vulnerabilidade de escalação de privilégio foi descoberta no Apache HTTP Server, afetando versões de 2.4.0 até 2.4.66. Autores de arquivos .htaccess podem explorar essa falha para ler arquivos com os privilégios do usuário httpd, potencialmente expondo informações confidenciais. A correção está disponível na versão 2.4.67 do Apache HTTP Server.
Impacto e Cenários de Ataque
Esta vulnerabilidade permite que um atacante, com acesso de escrita a um diretório com um arquivo .htaccess, leia arquivos que o usuário httpd tem permissão de acessar. Isso pode incluir arquivos de configuração, logs ou outros dados sensíveis armazenados no servidor web. O impacto potencial é alto, pois um atacante pode obter acesso a informações confidenciais, comprometer a integridade do sistema e potencialmente escalar seus privilégios para obter controle sobre o servidor. Embora a exploração exija acesso de escrita a um diretório específico, a prevalência de arquivos .htaccess em configurações de servidor web torna essa vulnerabilidade amplamente aplicável.
Contexto de Exploração
A vulnerabilidade foi publicada em 2026-05-04. Não há informações disponíveis sobre exploração ativa ou campanhas direcionadas. A probabilidade de exploração é considerada baixa a média, dependendo da prevalência de arquivos .htaccess configurados de forma insegura e da rapidez com que os sistemas afetados são atualizados. Não está listada no KEV (Kernel Exploitability Vulnerability).
Inteligência de Ameaças
Status do Exploit
EPSS
0.06% (percentil 19%)
Software Afetado
Classificação de Fraqueza (CWE)
Linha do tempo
- Publicada
- Modificada
- EPSS atualizado
Mitigação e Soluções Alternativas
A mitigação primária para esta vulnerabilidade é atualizar o Apache HTTP Server para a versão 2.4.67, que inclui a correção. Se a atualização imediata não for possível, considere restringir o acesso de escrita a arquivos .htaccess, removendo a permissão de escrita para o usuário do servidor web. Implementar um Web Application Firewall (WAF) com regras para detectar e bloquear tentativas de acesso não autorizado a arquivos pode fornecer uma camada adicional de proteção. Verifique se as configurações do Apache HTTP Server estão otimizadas para segurança, incluindo a desativação de módulos desnecessários e a aplicação de políticas de acesso restritivas. Após a atualização, confirme a correção verificando os logs do servidor web para garantir que não haja tentativas de acesso não autorizado a arquivos.
Como corrigirtraduzindo…
Actualice su instalación de Apache HTTP Server a la versión 2.4.67 o posterior para mitigar este riesgo. La actualización corrige una vulnerabilidad de elevación de privilegios que permite a los autores de .htaccess leer archivos con los privilegios del usuario httpd.
Perguntas frequentes
O que é CVE-2026-24072 — Escalation de Privilégio no Apache HTTP Server?
CVE-2026-24072 é uma vulnerabilidade de escalação de privilégio no Apache HTTP Server que permite a leitura de arquivos por autores de .htaccess com os privilégios do usuário httpd, afetando versões de 2.4.0 a 2.4.66.
Estou afetado pelo CVE-2026-24072 no Apache HTTP Server?
Se você estiver utilizando o Apache HTTP Server nas versões 2.4.0 a 2.4.66, você está potencialmente afetado por esta vulnerabilidade. Verifique a versão do seu servidor e atualize se necessário.
Como corrigir CVE-2026-24072 no Apache HTTP Server?
A correção é atualizar o Apache HTTP Server para a versão 2.4.67 ou superior. Se a atualização imediata não for possível, restrinja o acesso de escrita a arquivos .htaccess.
CVE-2026-24072 está sendo ativamente explorado?
Atualmente, não há informações disponíveis sobre exploração ativa ou campanhas direcionadas relacionadas ao CVE-2026-24072, mas a vulnerabilidade permanece um risco.
Onde posso encontrar o advisory oficial do Apache HTTP Server para CVE-2026-24072?
Consulte o site oficial do Apache HTTP Server para obter o advisory de segurança relacionado ao CVE-2026-24072: [https://httpd.apache.org/security/](https://httpd.apache.org/security/)
Seu projeto está afetado?
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Experimente agora — sem conta
Faça upload de qualquer manifesto (composer.lock, package-lock.json, lista de plugins WordPress…) ou cole sua lista de componentes. Receba um relatório de vulnerabilidades instantaneamente. Fazer upload de um arquivo é só o começo: com uma conta, você obtém monitoramento contínuo, alertas por Slack/email, relatórios multiprojeto e white-label.
Arraste e solte seu arquivo de dependências
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...