HTTP/2 Bomb explora falha crítica em servidores web e pode derrubar 880 mil sites
Pesquisador descobre falha crítica HTTP/2 Bomb que afeta 880 mil sites e permite DoS com amplificação de até 5.700:1 em servidores nginx, Apache, IIS e Envoy.
Tag
Tag: apache
16 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a apache.
Vulnerabilidades no Apache MINA permitem execução remota de código
Apache MINA emite correções para duas vulnerabilidades críticas que permitem execução remota de código via desserialização insegura.
CISA alerta para vulnerabilidade crítica no Apache ActiveMQ explorada ativamente
CISA adiciona CVE-2026-34197 ao catálogo KEV. Vulnerabilidade crítica no Apache ActiveMQ é explorada ativamente, permitindo execução remota de código sem autenticação.
Falhas de segurança no Apache Tomcat permitem bypass de criptografia
Falhas no Apache Tomcat permitem bypass de criptografia e autenticação. CVE-2026-34486 e CVE-2026-34500 exigem atualização para versões 11.0.21, 10.1.54 e 9.0.117.
IA descobre vulnerabilidade de execução remota de código de 13 anos no Apache ActiveMQ
IA descobre falha de 13 anos no Apache ActiveMQ permitindo RCE. CVE-2026-34197 afeta versões 6.0.0 a 6.1.1 sem autenticação. Mitigação exige atualização imediata.
Vulnerabilidades no Apache Traffic Server permitem DoS e ataque de request smuggling
Apache libera patches para duas falhas críticas no Traffic Server que permitem DoS e request smuggling. Veja versões afetadas e mitigação.
Duas Falhas no Apache ZooKeeper Expõem Dados e Bypassam Verificação de Host
Duas falhas no Apache ZooKeeper permitem vazamento de dados sensíveis e bypass de verificação de hostname. Atualização para versões 3.8.6 e 3.9.5 é crítica.
Falha XXE no Apache Struts 2 expõe versões e recebe correção
Vulnerabilidade XXE em Apache Struts 2 (CVE-2025-68493) afeta várias faixas de versão; Apache lançou Struts 6.1.1. Patching imediato é recomendado; mitigações JVM e SAXParserFactory foram publicadas.
Vulnerabilidade no Apache NuttX (CVE-2025-48769) permite crash
CVE-2025-48769 é um use‑after‑free em fs/vfs/fs_rename do Apache NuttX que pode causar crashes e operações indesejadas no sistema de arquivos. Afeta versões 7.20–12.10.0; a correção está disponível na 12.11.0. Não há relatos públicos de exploração ativa.
Falha no Apache StreamPipes permite escalonamento até conta administrativa
Apache corrigiu vulnerabilidade CVE‑2025‑47411 em StreamPipes (vulneráveis: 0.69.0–0.97.0) que permite a contas legítimas escalar privilégios via manipulação de JWT. A atualização 0.98.0 é recomendada imediatamente; não há confirmação pública de exploração em massa.