CVE-2026-28780
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 68 — wyżej niż 68% wszystkich znanych CVE
Streszczenie
Podatność przepełnienia bufora sterty w module mod_proxy_ajp serwera Apache HTTP. Jeśli mod_proxy_ajp łączy się ze złośliwym serwerem AJP, serwer ten może wysłać złośliwą wiadomość AJP, powodując zapis 4 bajtów kontrolowanych przez atakującego poza granicami bufora sterty. Problem dotyczy Apache HTTP Server do wersji 2.4.66 włącznie.
Ocena ryzyka
Atakujący może zdalnie spowodować awarię serwera lub potencjalnie wykonać dowolny kod, co prowadzi do naruszenia poufności, integralności i dostępności systemu.
Rekomendacja
Należy niezwłocznie zaktualizować Apache HTTP Server do wersji 2.4.67, która zawiera poprawkę eliminującą podatność.
Oryginalny opis (angielski, źródło NVD)
Heap-based Buffer Overflow vulnerability in mod_proxy_ajp of Apache HTTP Server. If mod_proxy_ajp connects to a malicious AJP server this AJP server can send a malicious AJP message back to mod_proxy_ajp and cause it to write 4 attacker controlled bytes after the end of a heap based buffer. This issue affects Apache HTTP Server: through 2.4.66. Users are recommended to upgrade to version 2.4.67, which fixes the issue.

