Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-15293

Опубликовано: 10 сент. 2025
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость веб-сервера Apache HTTP Server связана с недостаточной проверкой запросов на стороне сервера. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к NTLM-хэшам путем отправки специально сформированных запросов

Вендор

АО «ИВК»
Apache Software Foundation
ООО «Ред Софт»

Наименование ПО

Альт 8 СП
АЛЬТ СП 10
HTTP Server
РЕД ОС

Версия ПО

- (Альт 8 СП)
- (АЛЬТ СП 10)
до 2.4.66 (HTTP Server)
8.0 (РЕД ОС)

Тип ПО

Операционная система
Сетевое программное средство

Операционные системы и аппаратные платформы

АО «ИВК» Альт 8 СП -
АО «ИВК» АЛЬТ СП 10 -
ООО «Ред Софт» РЕД ОС 8.0

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 7,5)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- ограничение возможности передавать закодированные разделители пути в URL-адресах путем установления значения «off» параметра AllowEncodedSlashes;
- использование директивы MergeSlashes для обработки URL-адресов;
- использование межсетевого экрана уровня приложений (WAF) для фильтрации сетевого трафика;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).
Использование рекомендаций производителя:
https://httpd.apache.org/security/vulnerabilities_24.html
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/
Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/
Для Ред ОС:
http://repo.red-soft.ru/redos/8.0/x86_64/updates/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 18%
0.00056
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

redos логотип

ROS-20260122-73-0026

CVSS3: 7.5
redos
2 месяца назад

Уязвимость httpd

ubuntu логотип

CVE-2025-59775

CVSS3: 7.5
ubuntu
4 месяца назад

Server-Side Request Forgery (SSRF) vulnerability in Apache HTTP Server on Windows with AllowEncodedSlashes On and MergeSlashes Off  allows to potentially leak NTLM hashes to a malicious server via SSRF and malicious requests or content Users are recommended to upgrade to version 2.4.66, which fixes the issue.

redhat логотип

CVE-2025-59775

CVSS3: 7.5
redhat
4 месяца назад

Server-Side Request Forgery (SSRF) vulnerability  in Apache HTTP Server on Windows with AllowEncodedSlashes On and MergeSlashes Off  allows to potentially leak NTLM hashes to a malicious server via SSRF and malicious requests or content Users are recommended to upgrade to version 2.4.66, which fixes the issue.

nvd логотип

CVE-2025-59775

CVSS3: 7.5
nvd
4 месяца назад

Server-Side Request Forgery (SSRF) vulnerability  in Apache HTTP Server on Windows with AllowEncodedSlashes On and MergeSlashes Off  allows to potentially leak NTLM hashes to a malicious server via SSRF and malicious requests or content Users are recommended to upgrade to version 2.4.66, which fixes the issue.

msrc логотип

CVE-2025-59775

msrc
4 месяца назад

Apache HTTP Server: NTLM Leakage on Windows through UNC SSRF

EPSS

Процентиль: 18%
0.00056
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Уязвимость BDU:2025-15293