NCSC ønsker å komme med en oppdatering til varsel om sårbarhet i Apache HTTP Server 2.4.49 (CVE-2021-41773) som åpnet for traversering av arbitrære filstier [1].

Det skal under noen omstendigheter, avhengig av konfigurasjon, være mulig å utnytte sårbarheten til å kjøre kode. Dette gjelder dersom Apache-modulen "mod_cgi" er aktivert og "Require all denied" mangler fra Apache sin konfigurasjon [2,3,4].

NCSC anbefaler virksomheter som ikke enda har oppdatert til en ikke-sårbar versjon å gjøre dette så snart som mulig.

[1] Aktiv utnyttelse av Apache-sårbarhet CVE-2021-41773

[2] https://www.rapid7.com/blog/post/2021/10/06/apache-http-server-cve-2021-41773-exploited-in-the-wild/

[3] https://attackerkb.com/topics/1RltOPCYqE/cve-2021-41773/rapid7-analysis

[4] https://twitter.com/wdormann/status/1445676921581228038