Le 7 du mois actuels, Apache a publié un nouveau correctif pour une vulnérabilité de path-traversal et une vulnérabilité d'exécution à distance dans ses serveurs https. Il a été constaté que le correctif pour CVE-2021-41773 dans le serveur HTTP Apache 2.4.50 était insuffisant. Un attaquant pouvait utiliser une attaque de path-traversal pour mapper des URLs vers des fichiers en dehors des répertoires configurés par des directives de type Alias. Si les fichiers en dehors de ces répertoires ne sont pas protégés par la configuration par défaut habituelle "require all denied", ces requêtes peuvent aboutir. Si des scripts CGI sont également activés pour ces chemins d'accès alias, cela peut permettre l'exécution de code à distance. Ce problème n'affecte qu’Apache 2.4.49 et Apache 2.4.50 et non les versions antérieures.

Cette correction complémentaire a été suivie sous le Code (CVE-2021-42013).

Apache a publié un bulletin de sécurité concernant la correction, et incite les utilisateurs à effectuer une mise à jour vers la dernière version (2.4.51) pour atténuer le risque associé à la faille.