據(jù)有關(guān)部門通報，Apache HTTP Server組件存在請求走私漏洞，漏洞編號：CVE-2023-25690，漏洞威脅等級：高危。該漏洞是由于當(dāng)mod_proxy與特定格式的RewriteRule或ProxyPassMatch一起啟用時，配置會受到影響，與用戶提供的URL數(shù)據(jù)進行匹配后，使用變量替換將其重新插入到代理的請求目標(biāo)中可實現(xiàn)請求走私。攻擊者可利用該漏洞，構(gòu)造惡意數(shù)據(jù)執(zhí)行HTTP請求走私攻擊，最終繞過代理服務(wù)器中的訪問控制，將非預(yù)期的URL代理到現(xiàn)有源服務(wù)器，以及緩存中毒。

Apache HTTP Server（簡稱Apache），是Apache軟件基金會的一個開放源代碼的網(wǎng)頁服務(wù)器，可以在大多數(shù)電腦操作系統(tǒng)中運行，由于其具有的跨平臺性和安全性，被廣泛使用，是最流行的Web服務(wù)器端軟件之一。

（一）漏洞影響范圍：

目前受影響的Apache HTTP Server版本：

2.4.0≤Apache HTTP Server≤2.4.55

（二）官方修復(fù)建議：

官方已經(jīng)發(fā)布受影響版本的對應(yīng)補丁，建議受影響的用戶及時更新官方的安全補丁，詳細信息如下：

https://httpd.apache.org/download.cgi