Se han descubierto vulnerabilidades de severidad crítica y alta en Apache HTTP Server. Un actor malicioso podría eludir restricciones de seguridad, filtrar credenciales NTLM o ejecutar scripts con privilegios incorrectos.
Productos afectados
- Apache HTTP Server: versiones anteriores a 2.4.66
Impacto
Las vulnerabilidades se han identificado como:
CVE-2025-66200: con una puntuación de 9.8 en CVSS v3.1. Existe una vulnerabilidad de elusión de restricciones de seguridad en la interacción entre los módulos mod_userdir y suexec. Un actor malicioso podría aprovechar una configuración permisiva para manipular directivas en archivos .htaccess y lograr que scripts CGI se ejecuten bajo un identificador de usuario inesperado.
CVE-2025-59775: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) en Apache HTTP Server para Windows. Un actor malicioso podría aprovechar una configuración específica para redirigir solicitudes y filtrar hashes NTLM hacia un servidor controlado.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://www.tenable.com/plugins/nessus/277495
- https://www.tenable.com/cve/CVE-2025-59775
- https://httpd.apache.org/security/vulnerabilities_24.html