據有關部門通報，Apache HTTP Server組件存在請求走私漏洞，漏洞編號：CVE-2023-25690，漏洞威脅等級：高危。該漏洞是由于當mod_proxy與特定格式的RewriteRule或ProxyPassMatch一起啟用時，配置會受到影響，與用戶提供的URL數據進行匹配后，使用變量替換將其重新插入到代理的請求目標中可實現請求走私。攻擊者可利用該漏洞，構造惡意數據執(zhí)行HTTP請求走私攻擊，最終繞過代理服務器中的訪問控制，將非預期的URL代理到現有源服務器，以及緩存中毒。

Apache HTTP Server（簡稱Apache），是Apache軟件基金會的一個開放源代碼的網頁服務器，可以在大多數電腦操作系統(tǒng)中運行，由于其具有的跨平臺性和安全性，被廣泛使用，是最流行的Web服務器端軟件之一。

（一）漏洞影響范圍：

目前受影響的Apache HTTP Server版本：

2.4.0≤Apache HTTP Server≤2.4.55

（二）官方修復建議：

官方已經發(fā)布受影響版本的對應補丁，建議受影響的用戶及時更新官方的安全補丁，詳細信息如下：

https://httpd.apache.org/download.cgi