據(jù)有關(guān)部門通報(bào)，Apache HTTP Server組件存在請(qǐng)求走私漏洞，漏洞編號(hào)：CVE-2023-25690，漏洞威脅等級(jí)：高危。該漏洞是由于當(dāng)mod_proxy與特定格式的RewriteRule或ProxyPassMatch一起啟用時(shí)，配置會(huì)受到影響，與用戶提供的URL數(shù)據(jù)進(jìn)行匹配后，使用變量替換將其重新插入到代理的請(qǐng)求目標(biāo)中可實(shí)現(xiàn)請(qǐng)求走私。攻擊者可利用該漏洞，構(gòu)造惡意數(shù)據(jù)執(zhí)行HTTP請(qǐng)求走私攻擊，最終繞過代理服務(wù)器中的訪問控制，將非預(yù)期的URL代理到現(xiàn)有源服務(wù)器，以及緩存中毒。

Apache HTTP Server（簡(jiǎn)稱Apache），是Apache軟件基金會(huì)的一個(gè)開放源代碼的網(wǎng)頁(yè)服務(wù)器，可以在大多數(shù)電腦操作系統(tǒng)中運(yùn)行，由于其具有的跨平臺(tái)性和安全性，被廣泛使用，是最流行的Web服務(wù)器端軟件之一。

（一）漏洞影響范圍：

目前受影響的Apache HTTP Server版本：

2.4.0≤Apache HTTP Server≤2.4.55

（二）官方修復(fù)建議：

官方已經(jīng)發(fā)布受影響版本的對(duì)應(yīng)補(bǔ)丁，建議受影響的用戶及時(shí)更新官方的安全補(bǔ)丁，詳細(xì)信息如下：

https://httpd.apache.org/download.cgi