Der Apache HTTP Server war bis einschließlich Version 2.4.65 von einer gefährlichen Schwachstelle betroffen, die Server Side Includes (SSI) in Verbindung mit mod_cgid betrifft. Laut neu veröffentlichtem CVE-Eintrag (CVE-2025-58098) wird die shell-escapte Query-String an #exec cmd="..."-Direktiven weitergereicht – und öffnet so die Tür für das Ausführen beliebiger Befehle.
Betroffen sind nur Installationen mit SSI aktiviert und mod_cgid (nicht jedoch mod_cgi). Laut CISA erhält die Lücke einen CVSS-Score von 8.3 (High) und erlaubt Angreifern mit niedrigen Privilegien potenziell den Zugriff auf vertrauliche Daten sowie die Manipulation oder Ausführung von Systemkommandos.
Die Apache Software Foundation empfiehlt ein umgehendes Update auf Version 2.4.66, in der das Problem behoben wurde. Systemadministratoren sollten prüfen, ob SSI-Funktionen überhaupt benötigt werden – und sie andernfalls deaktivieren.
