| Summary | Inconsistent Interpretation of HTTP Requests ('HTTP Request Smuggling') vulnerability in mod_proxy_ajp of Apache HTTP Server allows an attacker to smuggle requests to the AJP server it forwards requests to. This issue affects Apache HTTP Server Apache HTTP Server 2.4 version 2.4.54 and prior versions. |
|---|---|
| Publication Date | Jan. 18, 2023, 5:15 a.m. |
| Registration Date | Jan. 18, 2023, 10 a.m. |
| Last Update | Nov. 21, 2024, 4:13 p.m. |
| CVSS3.1 : CRITICAL | |
| スコア | 9.0 |
|---|---|
| Vector | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H |
| 攻撃元区分(AV) | ネットワーク |
| 攻撃条件の複雑さ(AC) | 高 |
| 攻撃に必要な特権レベル(PR) | 不要 |
| 利用者の関与(UI) | 不要 |
| 影響の想定範囲(S) | 変更あり |
| 機密性への影響(C) | 高 |
| 完全性への影響(I) | 高 |
| 可用性への影響(A) | 高 |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:apache:http_server:*:*:*:*:*:*:*:* | 2.4.0 | 2.4.55 | |||
| Title | Apache HTTP Server 2 の mod_proxy_ajp における HTTP リクエストスマグリングに関する脆弱性 |
|---|---|
| Summary | Apache HTTP Server 2 の mod_proxy_ajp には、HTTP リクエストスマグリングに関する脆弱性が存在します。 |
| Possible impacts | 攻撃者により、リクエストの転送先の AJP サーバにリクエストを転送される可能性があります。 |
| Solution | ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | July 12, 2022, midnight |
| Registration Date | Jan. 30, 2023, 11:57 a.m. |
| Last Update | Sept. 22, 2025, 11:58 a.m. |
| Apache Software Foundation |
| Apache HTTP Server 2.4.54 およびそれ以前 |
| 日本電気 |
| ActSecure ポータル |
| CONNEXIVE PF V7 |
| iStorage Vシリーズ |
| NeoFace Monitor クラウド版 |
| SpoolServer/ReportFiling |
| WebOTX Application Server Enterprise 9.3 から 9.6 |
| WebOTX Application Server Express 9.3 から 11.1 |
| WebOTX Application Server Standard 9.3 から 11.1 |
| WebOTX Application Server Standard Extended Option 11.1 |
| 得選街・GCB 2.4.6 |
| 日立 |
| 日立高信頼サーバ RV3000 |
| No | Changed Details | Date of change |
|---|---|---|
| 3 | [2023年06月29日] 影響を受けるシステム:ベンダ情報 (NV23-003) の更新に伴い内容を更新 |
June 29, 2023, 10:47 a.m. |
| 4 | [2023年12月13日] 影響を受けるシステム:ベンダ情報の追加に伴い内容を更新 ベンダ情報:日立 (hitachi-sec-2023-217) を追加 |
Dec. 13, 2023, 9:41 a.m. |
| 5 | [2024年02月20日] 参考情報:JVN (JVNVU#91198149) を追加 参考情報:ICS-CERT ADVISORY (ICSA-24-046-11) を追加 |
Feb. 20, 2024, 3:21 p.m. |
| 6 | [2025年05月16日] 参考情報:JVN (JVNVU#90702915) を追加 参考情報:ICS-CERT ADVISORY (ICSA-25-133-01) を追加 |
May 16, 2025, 1:19 p.m. |
| 1 | [2023年01月30日] 掲載 |
Jan. 30, 2023, 11:57 a.m. |
| 2 | [2023年04月24日] 影響を受けるシステム:ベンダ情報の追加に伴い内容を更新 ベンダ情報:日本電気 (NV23-003) を追加 |
April 25, 2023, 3:04 p.m. |
| 7 | [2025年09月22日] 影響を受けるシステム:ベンダ情報 (NV23-003) の更新に伴い内容を更新 |
Sept. 22, 2025, 11:57 a.m. |