В mod_proxy_cluster обнаружена уязвимость. Проблема заключается в том, что директива <Directory> должна быть заменена на директиву <Locatio…
В mod_proxy_cluster обнаружена уязвимость. Проблема заключается в том, что директива <Directory> должна быть заменена на директиву <Location>, поскольку первая не ограничивает доступ IP/хоста, как это предполагает `Require ip IP_ADDRESS`. Это означает, что любой, имеющий доступ к хосту, может отправлять запросы MCMP, которые могут привести к добавлению/удалению/обновлению узлов для балансировки. Однако этот хост не должен быть доступен из общедоступной сети, поскольку он не обслуживает общий трафик [1]. Источники: - [1] https://access.redhat.com/errata/RHBA-2025:5309 - [2] https://access.redhat.com/security/cve/CVE-2024-10306 - [3] https://bugzilla.redhat.com/show_bug.cgi?id=2321302
Продукт выполняет проверку авторизации при попытке субъекта получить доступ к ресурсу или выполнить действие, однако не осуществляет эту проверку корректно.
https://cwe.mitre.org/data/definitions/863.html →Открыть в коллекции CWE →| Продукт | Вендор | Статус |
|---|---|---|
| libapache2-mod-cluster | Отслеживается |