Apache软件基金会发布了HTTP Web服务器2.4.51，以解决一个积极开发的路径遍历漏洞（CVE-2021-41773-），

该漏洞仅部分地与以前的版本一起解决。

攻击者可以触发该漏洞，将URL映射到预期文档根以外的文件。

“在对Apache HTTP Server 2.4.49中的路径规范化所做的更改中发现了一个漏洞。攻击者可以使用路径遍历攻击

将URL映射到预期文档根以外的文件。”警告中写道。如果文档根目录以外的文件不受“require all denied”保护，

则这些请求可能会成功。此外，此漏洞可能会泄漏解释文件（如CGI脚本）的源。

该漏洞仅影响版本2.4.49，早期版本不受影响。几天前，Apache发布了Apache HTTP 2.4.50以解决CVE-2021-41

773问题。

Apache HTTP 2.4.50发布后，专家们立即透露，当加载mod_cgi模块且缺少默认的“Require all denied”选项时，

利用该漏洞可能导致远程代码执行。

根据最新的建议，Apache发布了2.4.51版以最终修复该漏洞。这种新的路径遍历缺陷被追踪为CVE-2021-42013。

“发现Apache HTTP Server 2.4.50中CVE-2021-41773的修复程序不足。攻击者可以使用路径遍历攻击将URL映

射到Alias-like指令配置的目录之外的文件，”Apache在更新的公告中宣布。如果这些目录之外的文件不受通常默

认配置“require all denied”的保护，则这些请求可以成功。如果还为这些别名路径启用了CGI脚本，则允许远程

代码执行。

来自Dreamlab Technologies的Juan Escobar、来自NULL Life CTF团队的Fernando Muñoz和Kumasaka顺戈报

告了该漏洞。

美国计算机应急准备小组（US-CERT）警告说，正在对Apache HTTP服务器CVE-2021-41773和CVE-2021-42013

进行的主动扫描可能导致即将被利用，因此，US-CERT敦促各组织立即修补其安装。