Er is een kritiek beveiligingslek ontdekt in de Apache HTTP Server versie 2.4.64, waarbij de “RewriteCond expr …”-tests altijd als “waar” worden beoordeeld. Dit kan leiden tot onverwacht gedrag en potentieel misbruik door kwaadwillende actoren. Zorg ervoor dat uw servers snel worden bijgewerkt om dit probleem te verhelpen.
De kwetsbaarheid heeft een CVSS-score van 6.3, wat wijst op een matig risico dat niet genegeerd mag worden. Een aanvaller kan zonder uw weten toegang krijgen tot bepaalde delen van uw website of netwerk, wat kan leiden tot verlies van gevoelige gegevens.
Overzicht
Deze kwetsbaarheid komt voort uit een fout in het controleren van de terugkeerwaarde van een functie, specifiek gecategoriseerd onder CWE-253, ‘Incorrect Check of Function Return Value’. Dit is vastgesteld en gerapporteerd op 16 juli 2025. Een definitieve fix is gepubliceerd op 23 juli 2025.
Aanbevelingen
- Upgrade uw Apache HTTP Server onmiddellijk naar versie 2.4.65, die deze kwetsbaarheid verhelpt. Dit kan worden gedownload vanaf de officiële Apache site.
Bronnen
Vraag en Antwoord
1. Wat is CVE-2025-54090?
CVE-2025-54090 beschrijft een bug in Apache HTTP Server versie 2.4.64, waar de “RewriteCond expr …” altijd als “waar” wordt beoordeeld, wat kan leiden tot veiligheidsrisico’s.
2. Welke systemen zijn kwetsbaar voor CVE-2025-54090?
Systemen die draaien op Apache HTTP Server versie 2.4.64 zijn getroffen, andere versies zijn niet kwetsbaar door deze specifieke bug.
3. Bestaat er al een patch of beveiligingsupdate?
Ja, het wordt aanbevolen om te updaten naar Apache HTTP Server versie 2.4.65.
4. Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan potentieel onverwacht gedrag van uw webserver veroorzaken, mogelijk toegang verkrijgen tot onbeveiligde delen van uw site of verkeerde regels toepassen.
