前言
漏洞原理
该漏洞是由于在Apache HTTP Server 2.4.50版本中对CVE-2021-41773修复不够完善,攻击者可利用该漏洞绕过修复补丁,并利用目录穿越攻击访问服务器中一些文件,进而造成敏感信息泄露。若httpd中开启CGI功能,攻击者可以构造恶意请求,造成远程代码执行。
影响版本
Apache HTTP Server 2.4.50
Apache HTTP Server 2.4.49
漏洞信息
漏洞名称 | 路径穿越与命令执行漏洞 |
---|---|
漏洞编号 | CVE-2021-42013 |
危害等级 | 超危 |
CVSS评分 | 9.8 |
漏洞类型 | 路径漏洞 |
查询地址:http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202110-413
环境搭建
利用docker搭建靶场环境
docker pull vulfocus/apache-cve_2021_42013:latest #拉取靶场
docker images #查看镜像
docker run -d -P vulfocus/apache-cve_2021