A Apache Software Foundation anunciou a correção de uma vulnerabilidade crítica de divulgação de código-fonte em seu popular servidor HTTP Apache. A falha, identificada como CVE-2024-39884, foi abordada na atualização para a versão 2.4.61 do Apache HTTP Server. Esta vulnerabilidade é causada por uma regressão na manipulação de configurações legadas de tipo de conteúdo, que sob certas circunstâncias, pode expor inadvertidamente o código-fonte de arquivos que deveriam ser processados pelo servidor.

A vulnerabilidade surgiu devido a uma falha no tratamento da diretiva “AddType” e configurações similares. Em situações onde os arquivos são solicitados indiretamente, essas configurações podem resultar na divulgação do código-fonte local, em vez de apenas servir o conteúdo esperado. Isso significa que scripts PHP e outros arquivos de servidor, que normalmente seriam executados no servidor, poderiam ser enviados como texto plano, expondo potencialmente informações sensíveis.

A exposição de código-fonte pode ter várias consequências graves. Atacantes podem explorar essa vulnerabilidade para obter uma compreensão detalhada do ambiente do servidor, facilitando ataques mais sofisticados.

A Apache recomenda fortemente que todos os usuários do Apache HTTP Server 2.4.60 atualizem imediatamente para a versão 2.4.61.