ASA-2019-00512 – Apache HTTP Server: Falha limitada de Cross-Site Scripting (XSS) na página de erro em mod_proxy


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00512

Identificador(es)

ASA-2019-00512, CVE-2019-10092

Título

Falha limitada de Cross-Site Scripting (XSS) na página de erro em mod_proxy

Fabricante(s)

The Apache Software Foundation

Produto(s)

Apache HTTP Server

Versão(ões) afetada(s)

Apache HTTP Server versões 2.4.0 até 2.4.39

Versão(ões) corrigida(s)

Apache HTTP Server versão 2.4.41

Prova de conceito

Desconhecido

Descrição

Existe um falha limitada de Cross-Site Scripting (XSS) na página de erro do mod_proxy. Um atacante pode fazer com que o link na página de erro seja malformado e aponte para uma página de sua escolha. Isso só seria explorável quando um servidor fosse configurado com o proxy ativado, mas estivesse configurado incorretamente de forma que a página de erro do proxy fosse exibida.

Detalhes técnicos

Desconhecido

Créditos

Matei “Mal” Badanoiu

Referência(s)

httpd 2.4 vulnerabilities – The Apache HTTP Server Project
https://httpd.apache.org/security/vulnerabilities_24.html

[Apache-SVN] Revision 1864787
https://svn.apache.org/viewvc?view=revision&revision=1864787

CVE-2019-10092: Limited cross-site scripting in mod_proxy
https://seclists.org/oss-sec/2019/q3/139

Apache HTTP Server 2.4.41 Released
https://www.apache.org/dist/httpd/Announcement2.4.html

CVE-2019-10092
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10092

CVE-2019-10092
https://nvd.nist.gov/vuln/detail/CVE-2019-10092

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 14 setembro 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.