据有关部门通报，Apache HTTP Server组件存在请求走私漏洞，漏洞编号：CVE-2023-25690，漏洞威胁等级：高危。该漏洞是由于当mod_proxy与特定格式的RewriteRule或ProxyPassMatch一起启用时，配置会受到影响，与用户提供的URL数据进行匹配后，使用变量替换将其重新插入到代理的请求目标中可实现请求走私。攻击者可利用该漏洞，构造恶意数据执行HTTP请求走私攻击，最终绕过代理服务器中的访问控制，将非预期的URL代理到现有源服务器，以及缓存中毒。

Apache HTTP Server（简称Apache），是Apache软件基金会的一个开放源代码的网页服务器，可以在大多数电脑操作系统中运行，由于其具有的跨平台性和安全性，被广泛使用，是最流行的Web服务器端软件之一。

（一）漏洞影响范围：

目前受影响的Apache HTTP Server版本：

2.4.0≤Apache HTTP Server≤2.4.55

（二）官方修复建议：

官方已经发布受影响版本的对应补丁，建议受影响的用户及时更新官方的安全补丁，详细信息如下：

https://httpd.apache.org/download.cgi