Descrição
mod_negotiation é um módulo do Apache responsável por selecionar o documento que melhor corresponda às capacidades do cliente, a partir de um dos vários documentos disponíveis. Se o cliente fornecer um cabeçalho Accept inválido, o servidor responderá com um erro 406 Not Acceptable contendo uma pseudo listagem de diretório. Esse comportamento pode ajudar um invasor a aprender mais sobre seu alvo, por exemplo, gerar uma lista de nomes básicos, gerar uma lista de extensões interessantes, procurar arquivos de backup e assim por diante.
O impacto dessa vulnerabilidade
Possível divulgação de informações: listagem de diretórios, força bruta de nome de arquivo, arquivos de backup.
Remediação
Desative a diretiva MultiViews do arquivo de configuração do Apache e reinicie o Apache.
Você pode desabilitar MultiViews criando um arquivo .htaccess contendo a seguinte linha:
Options -Multiviews
Referências
mod_negotiation: listagem de diretórios, nome de arquivo força bruta
Multiviews Apache, aceita solicitações e listagem gratuita