免费扫描
分析待定CVE-2026-24072

CVE-2026-24072: Privilege Escalation in Apache HTTP Server

平台

apache

组件

apache-http-server

修复版本

2.4.67

在NVD查看
保存

CVE-2026-24072 describes a privilege escalation vulnerability affecting Apache HTTP Server versions 2.4.0 through 2.4.66. This flaw allows local users with the ability to modify .htaccess files to read arbitrary files with the privileges of the httpd user, potentially leading to sensitive data exposure. The vulnerability has been resolved in version 2.4.67, and users are strongly advised to upgrade.

影响与攻击场景

CVE-2026-24072 影响 Apache HTTP Server 2.4.66 及更早版本。此漏洞允许本地 .htaccess 作者以 httpd 用户的权限读取文件。这构成了一种特权提升风险,因为具有 .htaccess 文件访问权限的攻击者可能潜在地访问敏感信息或执行 Web 服务器权限下的命令。此漏洞的严重程度取决于特定环境,包括 httpd 用户的权限和 .htaccess 文件的位置。重要的是要注意,此漏洞需要对本地系统访问或修改 .htaccess 文件的能力,这会在某些环境中限制其影响。成功利用可能导致敏感信息泄露或服务器行为的操作。

利用背景

当恶意 .htaccess 文件允许攻击者读取通常不在 httpd 用户范围内的文件时,此漏洞会显现出来。这通过在 .htaccess 文件中的某些指令处理中的缺陷来实现。攻击者需要能够修改或创建 Web 服务器可访问的目录中的 .htaccess 文件。在广泛使用 .htaccess 文件配置 Web 服务器行为的环境中,利用的可能性更高。利用的复杂性取决于特定的服务器配置和分配给 httpd 用户的权限。此漏洞不需要身份验证,这使得攻击者更容易访问。

威胁情报

漏洞利用状态

概念验证未知
CISA KEVNO

EPSS

0.06% (19% 百分位)

受影响的软件

组件apache-http-server
供应商Apache Software Foundation
最低版本2.4.0
最高版本2.4.66
修复版本2.4.67

弱点分类 (CWE)

CWE-269

时间线

  1. 发布日期
  2. 修改日期
  3. EPSS 更新日期

缓解措施和替代方案

减轻 CVE-2026-24072 的推荐解决方案是将 Apache HTTP Server 升级到 2.4.67 或更高版本。此版本包含解决特权提升漏洞的修复程序。在执行升级之前,建议对服务器进行全面备份,并在测试环境中测试新版本,以确保与现有应用程序和配置的兼容性。此外,重要的是审查和强化 .htaccess 文件的权限,以限制对敏感资源的访问。监控服务器日志以检测可疑活动也是推荐的做法。及时修补是保护免受此漏洞影响的最有效措施。

修复方法翻译中…

Actualice su instalación de Apache HTTP Server a la versión 2.4.67 o posterior para mitigar este riesgo. La actualización corrige una vulnerabilidad de elevación de privilegios que permite a los autores de .htaccess leer archivos con los privilegios del usuario httpd.

常见问题

CVE-2026-24072 是什么 — Apache HTTP Server 中的漏洞?

.htaccess 文件是 Apache 服务器上使用的配置文件的示例,用于控制对目录和文件的访问,以及自定义 Web 服务器的行为。

Apache HTTP Server 中的 CVE-2026-24072 是否会影响我?

特权提升是指攻击者获得访问通常不可用给他们的资源或功能的的能力。

如何修复 Apache HTTP Server 中的 CVE-2026-24072?

是的,通常在应用升级后需要重启 Apache 服务器,以使更改生效。

CVE-2026-24072 是否正在被积极利用?

您可以在 Apache 官方网站下载 Apache HTTP 版本 2.4.67:https://httpd.apache.org/download.cgi

在哪里可以找到 Apache HTTP Server 关于 CVE-2026-24072 的官方安全通告?

如果您无法立即升级,请考虑限制对 .htaccess 文件的访问,并监控服务器日志以检测可疑活动。

你的项目受影响吗?

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描搜索 CVE
live免费扫描

立即试用 — 无需账户

上传任何清单文件 (composer.lock, package-lock.json, WordPress 插件列表…) 或粘贴您的组件列表。您立即获得一份漏洞报告。上传文件只是开始:拥有账户后,您将获得持续监控、Slack/电子邮件警报、多项目和白标报告。

手动扫描Slack/邮件提醒持续监控白标报告

拖放您的依赖文件

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...