[TLP:CLEAR] Apache opravuje 13 zranitelností
Apache verzí 2.4.68 opravuje 13 zranitelností v produktu Apache HTTP Server. Nejzávažnější zranitelnosti najdete popsané níže, zbývající na [1]. Zranitelnost CVE-2026-49975 byla již reportována v minulosti a její popis naleznete na [2]. Debian vydání opravující zranitelnost CVE-2026-49975 [3]: bookworm (security) - 2.4.67-1~deb12u3 trixie (security) - 2.4.67-1~deb13u3 Debian vydání opravující ostatní zranitelnosti [4]: bullseye (security) - 2.4.67-1~deb11u3 forky, sid - 2.4.68-1 Red Hat vydání opravující CVE-2026-49975 naleznete na [5]
Autentizovanému vzdálenému útočníkovi s právy autora obsahu WebDAV je kvůli chybě při zpracování cest v modulu pro správu souborového systému WebDAV umožněno přímo manipulovat s důvěryhodnými databázemi vlastností DAV a tím na zranitelném stroji narušit integritu dat či vyvolat DoS [1].
Zranitelnost se nachází v produktu Apache HTTP Server ve verzích <= 2.4.67.
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H
Více informací:
- CVE-2026-42535 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-668: Exposure of Resource to Wrong Sphere at cwe.mitre.org
Zranitelnost byla veřejně oznámena 8. 6. 2026.
Neautentizovanému vzdálenému útočníkovi je kvůli chybě zápisu mimo vyhrazenou paměť při zpracování speciálně upravených regulárních výrazů v konfiguraci potenciálně umožněno na zranitelném stroji vyvolat DoS nebo provést RCE [1].
Zranitelnost se nachází v produktu Apache HTTP Server ve verzích >=2.4.0 AND <=2.4.67.
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2026-44631 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-124: Buffer Underwrite ('Buffer Underflow') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 8. 6. 2026.
Neautentizovanému vzdálenému útočníkovi je kvůli chybě opětovného použití uvolněné paměti v modulu mod_ldap v konfiguraci pro konkrétní adresář potenciálně umožněno na zranitelném stroji vyvolat DoS nebo provést RCE [1].
Zranitelnost se nachází v produktu Apache HTTP Server ve verzích >=2.4.0 AND <=2.4.67.
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2026-29167 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-416: Use After Free at cwe.mitre.org
Zranitelnost byla veřejně oznámena 8. 6. 2026.
Odkazy
Za CESNET-CERTS Táňa Macháčková dne 2. 7. 2026.