Pre Merge pull request !457 from wzz1201/master

cve/apache-Httpd/2021/CVE-2021-40438/README.md

@@ -0,0 +1,19 @@
+# CVE-2021-40438
+
+请求 uri-path 可以导致 mod_proxy 将请求转发到远程用户选择的源服务器。此问题会影响 Apache HTTP Server 2.4.48 及更早版本。
+
+    
+
+攻击者可以通过制作请求来利用此漏洞uri路径，这导致 mod_proxy将请求转发到攻击者选择的源服务器。Apache HTTP Server的mod_proxy组件旨在为 Apache HTTP Server 实现代理/网关功能。 
+
+
+
+Apache <= 2.4.48 - Mod_Proxy SSRF
+
+
+
+
+## 解决方案
+
+
+  此漏洞是作为 HTTP Server 2.4.49 版中发布的安全更新公告修复 Apache 的一部分发布的。受影响的系统应立即升级到最新版本 2.4.49。

cve/apache-Httpd/2021/yaml/CVE-2021-40438.yaml

@@ -0,0 +1,20 @@
+id: CVE-2021-40438
+source: https://github.com/xiaojiangxl/CVE-2021-40438
+info:
+  name: Apache HTTP Server（简称 Apache）是开源的 Web 服务器，可以在大多数计算机操作系统中运行，由于其多平台和安全性被广泛使用，是最流行的 Web 服务器端软件之一。它快速、可靠并且可通过简单的 API 扩展，将 Perl/Python 等解释器编译到服务器中。
+  severity: critical
+  description: |
+    Apache HTTP Server是Apache基金会开源的一款流行的HTTP服务器。在其2.4.48及以前的版本中，mod_proxy模块存在一处逻辑错误导致攻击者可以控制反向代理服务器的地址，进而导致SSRF漏洞。
+  scope-of-influence:
+    Apache HTTP Server ≤ 2.4.48
+  reference:
+    - https://nvd.nist.gov/vuln/detail/CVE-2021-40438
+    - https://blog.csdn.net/weixin_44047654/article/details/128202120?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522168396995416800197070811%2522%252C%2522scm%2522%253A%252220140713.130102334..%2522%257D&request_id=168396995416800197070811&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~sobaiduend~default-1-128202120-null-null.142^v87^control_2,239^v2^insert_chatgpt&utm_term=cve-2021-40438&spm=1018.2226.3001.4187
+  classification:
+    cvss-metrics: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
+    cvss-score: 9.0
+    cve-id: CVE-2021-40438
+    cwe-id: CWE-918
+    cnvd-id: None
+    kve-id: None
+  tags: cve2021, apache-Httpd

openkylin_list.yaml

@@ -4,6 +4,7 @@ cve:
     - CVE-2020-9490
     - CVE-2021-41773
     - CVE-2021-42013
+    - CVE-2021-40438
   apache-Apisix:
     - CVE-2022-24112
     - CVE-2021-45232