anonhaven

CVE-2026-3234

MEDIUM CVSS 3.1: 4,3 EPSS 0.12%
Обновлено 12 марта 2026
mod_proxy_cluster
Параметр Значение
CVSS 4,3 (MEDIUM)
Тип уязвимости CWE-93
Поставщик mod_proxy_cluster
Публичный эксплойт Нет

В mod_proxy_cluster обнаружена ошибка. Эта уязвимость — внедрение перевода строки с возвратом каретки (CRLF) в функцию decodeenc() — позволяет удаленному злоумышленнику обойти проверку ввода. Внедряя последовательности CRLF в конфигурацию кластера, злоумышленник может повредить тело ответа конечной точки INFO.

Для эксплуатации требуется сетевой доступ к порту протокола MCMP, но аутентификация не требуется.

Показать оригинальное описание (EN)

A flaw was found in mod_proxy_cluster. This vulnerability, a Carriage Return Line Feed (CRLF) injection in the decodeenc() function, allows a remote attacker to bypass input validation. By injecting CRLF sequences into the cluster configuration, an attacker can corrupt the response body of INFO endpoint responses. Exploitation requires network access to the MCMP protocol port, but no authentication is needed.

Характеристики атаки

Способ атаки
Смежная сеть
Нужен доступ к локальной сети
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Нет
Нет утечки данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-93

Ссылки 2

https://access.redhat.com/security/cve/CVE-2026-3234
secalert@redhat.com
https://bugzilla.redhat.com/show_bug.cgi?id=2442889
secalert@redhat.com
Share Post Share Share Share