Apache HTTP Server2.4.50中的路径遍历和命令执行漏洞(CVE-2021-41773 & CVE-2021-42013)
CVE-2021-41773一、漏洞介绍HTTPServer2.4.49版本使用的ap_normalize_path函数在对路径参数进行规范化时会先进行url解码,然后判断是否存在…/的路径穿越符。当检测到路径中存在%字符时,如果紧跟的2个字符是十六进制字符,就会进行url解码,将其转换成标准字符,如%2e->.,转换完成后会判断是否存在…/。如果路径中存在%2e./形式,就会检测到,但是出现.%