[TLP:CLEAR] Apache opravuje 13 zranitelností

Apache verzí 2.4.68 opravuje 13 zranitelností v produktu Apache HTTP Server. Nejzávažnější zranitelnosti najdete popsané níže, zbývající na [1]. Zranitelnost CVE-2026-49975 byla již reportována v minulosti a její popis naleznete na [2]. Debian vydání opravující zranitelnost CVE-2026-49975 [3]: bookworm (security) - 2.4.67-1~deb12u3 trixie (security) - 2.4.67-1~deb13u3 Debian vydání opravující ostatní zranitelnosti [4]: bullseye (security) - 2.4.67-1~deb11u3 forky, sid - 2.4.68-1 Red Hat vydání opravující CVE-2026-49975 naleznete na [5]

Apache HTTP - DoS (CVE-2026-42535)
CVSS 8.1 (High)

Autentizovanému vzdálenému útočníkovi s právy autora obsahu WebDAV je kvůli chybě při zpracování cest v modulu pro správu souborového systému WebDAV umožněno přímo manipulovat s důvěryhodnými databázemi vlastností DAV a tím na zranitelném stroji narušit integritu dat či vyvolat DoS [1].

Zranitelnost se nachází v produktu Apache HTTP Server ve verzích <= 2.4.67.

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H

Více informací:

Zranitelnost byla veřejně oznámena 8. 6. 2026.

Apache HTTP - DoS, RCE (CVE-2026-44631)
CVSS 9.8 (Critical)

Neautentizovanému vzdálenému útočníkovi je kvůli chybě zápisu mimo vyhrazenou paměť při zpracování speciálně upravených regulárních výrazů v konfiguraci potenciálně umožněno na zranitelném stroji vyvolat DoS nebo provést RCE [1].

Zranitelnost se nachází v produktu Apache HTTP Server ve verzích >=2.4.0 AND <=2.4.67.

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Více informací:

Zranitelnost byla veřejně oznámena 8. 6. 2026.

Apache HTTP - DoS, RCE (CVE-2026-29167)
CVSS 9.8 (Critical)

Neautentizovanému vzdálenému útočníkovi je kvůli chybě opětovného použití uvolněné paměti v modulu mod_ldap v konfiguraci pro konkrétní adresář potenciálně umožněno na zranitelném stroji vyvolat DoS nebo provést RCE [1].

Zranitelnost se nachází v produktu Apache HTTP Server ve verzích >=2.4.0 AND <=2.4.67.

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Více informací:

Zranitelnost byla veřejně oznámena 8. 6. 2026.


Za CESNET-CERTS Táňa Macháčková dne 2. 7. 2026.

CESNET-CERTS Logo