Apache HTTP Server حتى 2.2.3 على Windows mod_alias الكشف عن المعلومات

| CVSS الدرجة المؤقتة للميتا | سعر الإكسبلويت الحالي (≈) | درجة اهتمام CTI |
|---|---|---|
| 4.8 | $0-$5k | 0.00 |
الملخص
تم أيجاد ثغرة أمنية بصنف خطيرة. في Apache HTTP Server حتى 2.2.3. تتأثر الوظيفة $software_function من المكون mod_alias. عند التلاعب ينتج الكشف عن المعلومات.
يتم تداول هذه الثغرة تحت اسم CVE-2006-4110. يمكن شن الهجوم عن بُعد. علاوة على ذلك، يوجد استغلال متاح.
يُنصح بتعطيل المكون المتأثر.
التفاصيل
تم أيجاد ثغرة أمنية بصنف خطيرة. في Apache HTTP Server حتى 2.2.3. تتأثر الوظيفة $software_function من المكون mod_alias. عند التلاعب ينتج الكشف عن المعلومات. أستخدام الـ سي دبليو أي للأعلان عن المشكلة يؤدي إلى CWE-200. تم التعرف على الثغرة بتاريخ 08/08/2006. المشكلة تم نشرها بتاريخ 11/08/2006 بواسطة Susam Pal مع Infosys Technologies Ltd. كـ Posting (Bugtraq). الاستشارة متوفرة هنا securityfocus.com.
يتم تداول هذه الثغرة تحت اسم CVE-2006-4110. تم إصدار CVE في 14/08/2006. يمكن شن الهجوم عن بُعد. لا توجد تفاصيل تقنية متوفرة. هذه الثغرة شائعة أكثر من المعتاد. علاوة على ذلك، يوجد استغلال متاح. تم نشر تفاصيل الاستغلال للعامة وقد يُستخدم. يصرح مشروع MITRE ATT&CK بأن تقنية الهجوم هي T1592.
إذا وُجد إثبات المفهوم، فإنه يُصرح به كـ إثبات المفهوم. الاستغلال متاح للتنزيل عبر downloads.securityfocus.com. تم تصنيف الثغرة كاستغلال يوم-صفر غير معلن لمدة لا تقل عن 3 يومًا. بلغ السعر التقديري لثغرة يوم الصفر في السوق السوداء حوالي $5k-$25k. يقدم أداة فحص الثغرات Nessus مكونًا إضافيًا يحمل رقم التعريف 22203. ينتمي إلى عائلة CGI abuses. يتم تشغيل البرنامج المساعد ضمن نوع r. خدمة فحص الشبكات كويلس يمكنها الكشف عن هذه الثغرة الأمنية بواسطة ملحق87269 (Apache CGI Script Source Code Information Disclosure Vulnerability).
يمكنك تنزيل التصحيح من httpd.apache.org. يُنصح بتعطيل المكون المتأثر.
إذا كان هناك عناصر في source_databases_list، فإن الثغرة موثقة كذلك في قواعد بيانات ثغرات أخرى: SecurityFocus (BID 19447), X-Force (28357), Secunia (SA21490), Vulnerability Center (SBV-12512) , Tenable (22203).
منتج
النوع
المجهز
الأسم
النسخة
الرخصة
الدعم
- end of life (old version)
موقع إلكتروني
- المجهز: https://www.apache.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB متجه: 🔍VulDB الاعتمادية: 🔍
CVSSv3
VulDB الدرجة الأساسية للميتا: 5.3VulDB الدرجة المؤقتة للميتا: 4.8
VulDB الدرجة الأساسية: 5.3
VulDB الدرجة المؤقتة: 4.8
VulDB متجه: 🔍
VulDB الاعتمادية: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| متجه | التعقيد | توثيق | السرية | الأمانة | التوفر |
|---|---|---|---|---|---|
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
VulDB الدرجة الأساسية: 🔍
VulDB الدرجة المؤقتة: 🔍
VulDB الاعتمادية: 🔍
NVD الدرجة الأساسية: 🔍
استغلال
الفئة: الكشف عن المعلوماتCWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
ملموس: لا
محلي: لا
عن بُعد: نعم
التوفر: 🔍
وصول: عام
الحالة: إثبات المفهوم
تحميل: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
تقدير السعر: 🔍
تقدير السعر الحالي: 🔍
| 0-Day | افتح | افتح | افتح | افتح |
|---|---|---|---|---|
| اليوم | افتح | افتح | افتح | افتح |
Nessus ID: 22203
Nessus الأسم: Apache on Windows mod_alias URL Validation Canonicalization CGI Source Disclosure
Nessus ملف: 🔍
Nessus خطر: 🔍
Nessus عائلة: 🔍
Nessus Context: 🔍
Qualys ID: 🔍
Qualys الأسم: 🔍
Exploit-DB: 🔍
استخبارات التهديد
الاهتمام: 🔍الفاعلون النشطون: 🔍
مجموعات APT النشطة: 🔍
إجراءات مضادة
التوصية: تعطيلالحالة: 🔍
زمن الهجوم الفوري: 🔍
تصحيح: httpd.apache.org
الجدول الزمني
08/08/2006 🔍09/08/2006 🔍
09/08/2006 🔍
09/08/2006 🔍
11/08/2006 🔍
11/08/2006 🔍
11/08/2006 🔍
13/08/2006 🔍
14/08/2006 🔍
14/08/2006 🔍
14/08/2006 🔍
18/06/2025 🔍
المصادر
المجهز: apache.orgاستشارة: securityfocus.com⛔
باحث: Susam Pal
منظمة: Infosys Technologies Ltd.
الحالة: مؤكد
CVE: CVE-2006-4110 (🔍)
GCVE (CVE): GCVE-0-2006-4110
GCVE (VulDB): GCVE-100-2452
X-Force: 28357 - Apache HTTP Server mod_alias script source information disclosure, Low Risk
SecurityFocus: 19447 - Apache CGI Script Source Code Information Disclosure Vulnerability
Secunia: 21490 - Apache "mod_alias" URL Validation Canonicalization Vulnerability, Less Critical
OSVDB: 27913 - Apache HTTP Server on Windows mod_alias URL Validation Canonicalization CGI Source Disclosure
Vulnerability Center: 12512 - Apache mod_alias CGI Source Code Revelation via Case-Sensitive Alias Directive Arguments, Medium
Vupen: ADV-2006-3265
scip Labs: https://www.scip.ch/en/?labs.20161013
إدخال
تم الإنشاء: 14/08/2006 12:34 PMتم التحديث: 18/06/2025 06:03 PM
التغييرات: 14/08/2006 12:34 PM (82), 16/04/2019 03:10 PM (11), 13/03/2021 12:02 PM (2), 12/05/2025 08:33 AM (19), 18/06/2025 06:03 PM (3)
كامل: 🔍
Cache ID: 216::103
Once again VulDB remains the best source for vulnerability data.
لا توجد تعليقات بعد اللغات: ar + fa + en.
يرجى تسجيل الدخول حتى تتمكن من التعليق