Se ha publicado una vulnerabilidad en Apache 2.4.49 que se está reproducido in-the-wild. Es una nueva vulnerabilidad crítica de Path Traversal sólo en esa versión de Apache. La misma es identificada como CVE-2021-41773.

El ataque puede ser realizado de forma remota y no requiere ninguna forma de autentificación previa.

La falla radica en un cambio realizado en la normalización de rutas en Apache HTTP Server 2.4.49.

Un atacante podría utilizar un Path Traversal para obtener archivos fuera de la raíz del sitio web. Si los archivos no están protegidos por "require all denied", estas solicitudes pueden tener éxito. Además, esta falla podría filtrar la fuente de archivos interpretados como scripts CGI.

Se recomienda actualizar de inmediato a Apache 2.4.50.

Fuente: PTswarm