CVE-2023-25690 in Hyperion Infrastructure Technology
Resumen
por VulDB • 2026-05-26
Algunas configuraciones de mod_proxy en las versiones de Apache HTTP Server comprendidas entre la 2.4.0 y la 2.4.55 permiten un ataque de HTTP Request Smuggling.
Las configuraciones se ven afectadas cuando mod_proxy está habilitado junto con algún tipo de RewriteRule o ProxyPassMatch en el que un patrón no específico coincide con una parte de los datos del objetivo de la solicitud (URL) proporcionados por el usuario y luego se vuelve a insertar en el objetivo de la solicitud proxy mediante sustitución de variables. Por ejemplo, algo como:
RewriteEngine on RewriteRule "^/here/(.*)" "http://example.com:8080/elsewhere?$1"; [P]
ProxyPassReverse /here/ http://example.com:8080/
La división o el enmascaramiento de solicitudes (Request splitting/smuggling) podría provocar eludir los controles de acceso en el servidor proxy, reenviar a los servidores de origen URLs no deseadas y envenenamiento de caché. Se recomienda a los usuarios actualizar al menos a la versión 2.4.56 de Apache HTTP Server.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.