Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-15635

Опубликовано: 21 авг. 2025
Источник: fstec
CVSS3: 8.3
CVSS2: 8.7
EPSS Низкий

Описание

Уязвимость модуля mod_cgid веб-сервера Apache HTTP Server связана с раскрытием информации при передаче данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Вендор

Red Hat Inc.
Сообщество свободного программного обеспечения
АО «ИВК»
Canonical Ltd.
ООО «РусБИТех-Астра»
Apache Software Foundation
ООО «Ред Софт»

Наименование ПО

Red Hat Enterprise Linux
Debian GNU/Linux
Альт 8 СП
Ubuntu
АЛЬТ СП 10
Red Hat JBoss Core Services
Astra Linux Special Edition
HTTP Server
РЕД ОС

Версия ПО

8 (Red Hat Enterprise Linux)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
- (Альт 8 СП)
22.04 LTS (Ubuntu)
9 (Red Hat Enterprise Linux)
8.2 Advanced Update Support (Red Hat Enterprise Linux)
8.4 Advanced Mission Critical Update Support (Red Hat Enterprise Linux)
- (АЛЬТ СП 10)
RHEL 8 (Red Hat JBoss Core Services)
RHEL 7 (Red Hat JBoss Core Services)
24.04 LTS (Ubuntu)
9.0 Update Services for SAP Solutions (Red Hat Enterprise Linux)
8.6 Update Services for SAP Solutions (Red Hat Enterprise Linux)
8.6 Telecommunications Update Service (Red Hat Enterprise Linux)
8.6 Advanced Mission Critical Update Support (Red Hat Enterprise Linux)
7 Extended Lifecycle Support (Red Hat Enterprise Linux)
1.8 (Astra Linux Special Edition)
9.4 Extended Update Support (Red Hat Enterprise Linux)
10 (Red Hat Enterprise Linux)
8.8 Telecommunications Update Service (Red Hat Enterprise Linux)
8.8 Update Services for SAP Solutions (Red Hat Enterprise Linux)
9.2 Update Services for SAP Solutions (Red Hat Enterprise Linux)
13 (Debian GNU/Linux)
8.4 Extended Update Support Long-Life Add-On (Red Hat Enterprise Linux)
25.10 (Ubuntu)
9.6 Extended Update Support (Red Hat Enterprise Linux)
до 2.4.66 (HTTP Server)
8.0 (РЕД ОС)
10.0 Extended Update Support (Red Hat Enterprise Linux)
3.8 (Astra Linux Special Edition)
6 Extended Lifecycle Support - EXTENSION (Red Hat Enterprise Linux)
2.4.62.SP3 (Red Hat JBoss Core Services)

Тип ПО

Операционная система
Микропрограммный код аппаратных компонент компьютера
Сетевое программное средство

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
АО «ИВК» Альт 8 СП -
Canonical Ltd. Ubuntu 22.04 LTS
Red Hat Inc. Red Hat Enterprise Linux 9
Red Hat Inc. Red Hat Enterprise Linux 8.2 Advanced Update Support
Red Hat Inc. Red Hat Enterprise Linux 8.4 Advanced Mission Critical Update Support
АО «ИВК» АЛЬТ СП 10 -
Canonical Ltd. Ubuntu 24.04 LTS
Red Hat Inc. Red Hat Enterprise Linux 9.0 Update Services for SAP Solutions
Red Hat Inc. Red Hat Enterprise Linux 8.6 Update Services for SAP Solutions
Red Hat Inc. Red Hat Enterprise Linux 8.6 Telecommunications Update Service
Red Hat Inc. Red Hat Enterprise Linux 8.6 Advanced Mission Critical Update Support
Red Hat Inc. Red Hat Enterprise Linux 7 Extended Lifecycle Support
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8
Red Hat Inc. Red Hat Enterprise Linux 9.4 Extended Update Support
Red Hat Inc. Red Hat Enterprise Linux 10
Red Hat Inc. Red Hat Enterprise Linux 8.8 Telecommunications Update Service
Red Hat Inc. Red Hat Enterprise Linux 8.8 Update Services for SAP Solutions
Red Hat Inc. Red Hat Enterprise Linux 9.2 Update Services for SAP Solutions
Сообщество свободного программного обеспечения Debian GNU/Linux 13
Red Hat Inc. Red Hat Enterprise Linux 8.4 Extended Update Support Long-Life Add-On
Canonical Ltd. Ubuntu 25.10
Red Hat Inc. Red Hat Enterprise Linux 9.6 Extended Update Support
ООО «Ред Софт» РЕД ОС 8.0
Red Hat Inc. Red Hat Enterprise Linux 10.0 Extended Update Support
ООО «РусБИТех-Астра» Astra Linux Special Edition 3.8
Red Hat Inc. Red Hat Enterprise Linux 6 Extended Lifecycle Support - EXTENSION

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,7)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 8,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Обновление программного обеспечения до версии 2.4.66 и выше:
https://httpd.apache.org/security/vulnerabilities_24.html
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/
Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/
Для ОС Astra Linux:
обновить пакет apache2 до 2.4.65-3astra.se4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2026-0224SE18
Для ОС Astra Linux:
обновить пакет apache2 до 2.4.65-3astra.se4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se38-bulletin-2026-0305SE38
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2025-58098
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2025-58098
Для Ubuntu:
https://ubuntu.com/security/CVE-2025-58098
Для Ред ОС:
http://repo.red-soft.ru/redos/8.0/x86_64/updates/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 7%
0.00027
Низкий

8.3 High

CVSS3

8.7 High

CVSS2

Связанные уязвимости

redos логотип

ROS-20260122-73-0025

CVSS3: 8.3
redos
2 месяца назад

Уязвимость httpd

ubuntu логотип

CVE-2025-58098

CVSS3: 8.3
ubuntu
4 месяца назад

Apache HTTP Server 2.4.65 and earlier with Server Side Includes (SSI) enabled and mod_cgid (but not mod_cgi) passes the shell-escaped query string to #exec cmd="..." directives. This issue affects Apache HTTP Server before 2.4.66. Users are recommended to upgrade to version 2.4.66, which fixes the issue.

redhat логотип

CVE-2025-58098

CVSS3: 7.1
redhat
4 месяца назад

Apache HTTP Server 2.4.65 and earlier with Server Side Includes (SSI) enabled and mod_cgid (but not mod_cgi) passes the shell-escaped query string to #exec cmd="..." directives. This issue affects Apache HTTP Server before 2.4.66. Users are recommended to upgrade to version 2.4.66, which fixes the issue.

nvd логотип

CVE-2025-58098

CVSS3: 8.3
nvd
4 месяца назад

Apache HTTP Server 2.4.65 and earlier with Server Side Includes (SSI) enabled and mod_cgid (but not mod_cgi) passes the shell-escaped query string to #exec cmd="..." directives. This issue affects Apache HTTP Server before 2.4.66. Users are recommended to upgrade to version 2.4.66, which fixes the issue.

msrc логотип

CVE-2025-58098

CVSS3: 8.3
msrc
4 месяца назад

Apache HTTP Server: Server Side Includes adds query string to #exec cmd=...

EPSS

Процентиль: 7%
0.00027
Низкий

8.3 High

CVSS3

8.7 High

CVSS2