[TLP:CLEAR]
bollettino di sicurezza 108/2026
Aggiornamenti Apache HTTP server
09-06-2026
apache, http-server, buffer-overflow, use-after-free, memory-corruption, privilege-escalation
descrizione
L'aggiornamento copre 13 vulnerabilità in Apache HTTP Server versioni dalla 2.4.0 alla 2.4.67, risolte nella versione 2.4.68.Le vulnerabilità di memoria comprendono: due istanze di Use After Free (CWE-416) rispettivamente in mod_ldap con configurazione per-directory e in mod_http2 in condizione di esaurimento dei file handle; tre heap-based buffer overflow (CWE-122) in mod_proxy_html, ProxyPassReverseCookieMap e mod_xml2enc; un buffer underwrite per overflow di char con segno in ap_regname (CWE-124); un out-of-bounds read in merge_response_headers con mod_headers e mod_mime (CWE-125); un buffer over-read in mod_ssl durante richieste OCSP outbound (CWE-126).
Le vulnerabilità di logica e controllo comprendono: una memory allocation con valore eccessivo in mod_http2 (CWE-789) che porta a denial of service; un infinite loop in mod_proxy_ftp con backend FTP controllato dall'attaccante (CWE-835); un path handling issue in mod_dav_fs che consente la manipolazione di database di proprietà DAV trusted (CWE-668).
Sono inoltre presenti una XSS riflessa in mod_proxy_ftp nella generazione di listing HTML di directory FTP (CWE-79) e una privilege escalation tramite espressioni in .htaccess che permette la lettura di file con i privilegi dell'utente httpd (CWE-269).
note
Tutte le CVE presentano vettore di attacco AV:N con AC:L, PR:N, UI:N ad eccezione di due casi: CVE-2026-29170 (mod_proxy_ftp XSS) richiede interazione utente (UI:R) e ha scope Changed (S:C), indicando impatto oltre il processo corrente; CVE-2026-44119 (privilege escalation via .htaccess) ha vettore locale (AV:L) con PR:L, richiedendo accesso locale con privilegi limitati per la scrittura di file .htaccess.Per priorità operativa, CVE-2026-44631 (buffer underwrite in ap_regname) è classificata critical con priority_score 11.57 e CVSS 10.0. CVE-2026-29167 (UAF in mod_ldap) ha CVSS 10.0 con impatto C:H/I:H/A:H ma priority high per EPSS percentile inferiore. CVE-2026-42535 (mod_dav_fs) ha CVSS 9.0 e impatto I:H/A:H senza componente confidenzialità; il vettore indica sfruttamento da parte di un content author WebDAV autenticato, dato inferito dalla descrizione NVD.
Le tre heap-based buffer overflow (mod_proxy_html, ProxyPassReverseCookieMap, mod_xml2enc) condividono identico vettore CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H con score 8.0 e impatto limitato alla disponibilità; stessa identità di priority_score (8.99) e percentile EPSS. CVE-2026-34355 e CVE-2026-34356 richiedono un backend non fidato, CVE-2026-42536 richiede contenuto non fidato elaborato da mod_xml2enc.
CVE-2026-44185 (buffer over-read in mod_ssl OCSP) presuppone la presenza di un server OCSP controllato dall'attaccante raggiungibile tramite richieste OCSP outbound. CVE-2026-44186 (infinite loop in mod_proxy_ftp) richiede un backend FTP controllato dall'attaccante.
I CPE confermano il perimetro di impatto su Apache http_server dalla 2.4.0 alla 2.4.67 (esclusa 2.4.68) per la maggioranza delle CVE. CVE-2026-44631, CVE-2026-49975, CVE-2026-43951, CVE-2026-44185, CVE-2026-44186, CVE-2026-48913 e CVE-2026-44119 non hanno CPE strutturato associato.
Non risultano a oggi CVE nel catalogo CISA KEV, exploit in the wild o proof-of-concept pubblici.
CVE
| CVE | CVSS | EPSS | priority |
|---|---|---|---|
| CVE-2026-44631 | 3.1: 10.0 | 0.043% | 13.35% | critical |
| CVE-2026-34355 | 3.1: 8.0 | 0.040% | 12.31% | high |
| CVE-2026-34356 | 3.1: 8.0 | 0.040% | 12.31% | high |
| CVE-2026-42536 | 3.1: 8.0 | 0.040% | 12.31% | high |
| CVE-2026-44185 | 3.1: 7.0 | 0.037% | 11.36% | high |
| CVE-2026-48913 | 3.1: 7.0 | 0.037% | 11.36% | high |
| CVE-2026-29167 | 3.1: 10.0 | 0.017% | 4.23% | high |
| CVE-2026-42535 | 3.1: 9.0 | 0.018% | 5.14% | high |
| CVE-2026-43951 | 3.1: 7.0 | 0.028% | 8.25% | high |
| CVE-2026-49975 | 3.1: 8.0 | 0.018% | 4.72% | high |
| CVE-2026-29170 | 3.1: 6.0 | 0.029% | 8.76% | medium |
| CVE-2026-44186 | 3.1: 7.0 | 0.018% | 5.14% | medium |
| CVE-2026-44119 | 3.1: 6.0 | 0.017% | 4.37% | medium |
NOTA: Le vulnerabilità sono ordinate per priorità operativa, calcolata combinando la gravità teorica (CVSS) con la probabilità reale di sfruttamento (EPSS).
tipi di attacco
| CWE | descrizione |
|---|---|
| CWE-416 | Use After Free |
| CWE-79 | Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') |
| CWE-122 | Heap-based Buffer Overflow |
| CWE-668 | Exposure of Resource to Wrong Sphere |
| CWE-125 | Out-of-bounds Read |
| CWE-269 | Improper Privilege Management |
| CWE-126 | Buffer Over-read |
| CWE-835 | Loop with Unreachable Exit Condition ('Infinite Loop') |
| CWE-124 | Buffer Underwrite ('Buffer Underflow') |
| CWE-789 | Memory Allocation with Excessive Size Value |
prodotti impattati
| vendor | prodotto & versioni |
|---|---|
| Apache |
http server
|