Apache รายงานแก้ไขช่องโหว่ CVE-2021-41773 ของ Apache HTTP Server ที่เปิดทางให้คนร้ายสามารถเข้าถึงไฟล์นอก document root ได้ เปิดทางให้คนร้ายอ่านข้อมูลที่ไม่ควรอ่านได้ เช่น สคริปต์ CGI จนอาจนำไปสู่การโจมตีส่วนอื่นๆ ของระบบในที่สุด
ช่องโหว่นี้เกิดจากโค้ดที่เพิ่งใส่เข้ามาในเวอร์ชั่น 2.4.49 ที่เพิ่งออกเมื่อกลางเดือนกันยายนที่ผ่านมา โดยโค้ดส่วนตรวจสอบตำแหน่ง (path) ของไฟล์ ไม่ได้ตรวจสอบในกรณีที่ URL เข้ารหัส (encode) มา ทำให้แฮกเกอร์สามารถใช้ "%2E" แทนจุดเพื่อออกนอกโฟลเดอร์ที่กำหนดได้
แม้ Apache HTTP Server เวอร์ชั่นนี้จะเพิ่งออกมาไม่กี่สัปดาห์ แต่ตอนนี้ก็มีเซิร์ฟเวอร์ใช้งานแล้วกว่าแสนเครื่อง หากใครเพิ่งอัพเดตซอฟต์แวร์ไปก็ควรรีบอัพเดตอีกรอบ