当前位置: 首页 > news >正文

常见中间件漏洞之四:Apache

news 来源:原创 2025/5/15 20:33:52

1. CVE-2021-41773

Apache HTTP Server 路径穿越漏洞

漏洞简介

该漏洞是由于Apache HTTP Server 2.4.49版本存在⽬录穿越漏洞,在路径穿越⽬录<Directory/>Require all granted</Directory>允许被访问的的情况下(默认开启),攻击者可利⽤该路径穿越漏洞读取到Web⽬录之外的其他⽂件

在服务端开启了gi或cgid这两个mod的情况下,这个路径穿越漏洞将可以执⾏任意cgi命令(RCE)

影响版本

Apache HTTP Server 2.4.49

某些Apache HTTPd 2.4.50也存在此漏洞

环境搭建

docker pull blueteamsteve/cve-2021-41773:no-cgid

漏洞复现

http://8.138.19.182:8082/

1.使⽤poc

curl http://8.138.19.182:8082/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd

2.⼯具验证

3.在服务端开启了gi或cgid这两个mod的情况下,这个路径穿越漏洞将可以执⾏任意cg命令

相关文章:

  • 通信基本概念
  • windows切换系统版本
  • 【uni-app】tabBar使用
  • Python中json和jsonify的使用
  • 【MySQL】锁机制
  • DeepSeek技术架构解析:MoE混合专家模型
  • C语言-桥接模式详解与实践
  • 清华大学大模型智能体自我认知与决策流程!自知、反思、规划:城市环境目标导航中的大模型智能体新范式
  • 驱动开发的引入
  • k8s中运行nginx的亲和性
  • BigEvent项目后端学习笔记(二)文章分类模块 | 文章分类增删改查全流程解析(含优化)
  • 3.milvus索引-HNSW
  • SpringBoot集成Flyway
  • java八股文之并发编程
  • JSON Web Token (JWT) 完整指南
  • 决策树调参技巧
  • 数据库操作练习
  • 计算机网络——物理层设备
  • 深度剖析HTTP协议—GET/PUT请求方法的使用-构造请求的方法
  • Unity-AI-Deepseek生成的生成模型代码
  • 刘强东坐镇京东一线:管理层培训1800人次,最注重用户体验
  • 通用汽车回应进口车业务调整传闻:因经济形势变化重组,致力于在中国持续发展
  • 欠债七十万后,一个乡镇驿站站长的中年心事
  • 时隔3年俄乌直接谈判今日有望重启:谁参加,谈什么
  • 财政部党组召开2025年巡视工作会议暨第一轮巡视动员部署会
  • 陕西河南山西等地将现“干热风”灾害,小麦产区如何防范?