Delphi'de programlanan ince web sunucusu TinyWeb for Windows, saldırganların İnternet'e kötü amaçlı kod yerleştirmesine ve yürütmesine olanak tanıyan bir güvenlik açığı içeriyor. Güncellenmiş bir sürüm güvenlik açığını kapatır.
Duyurudan sonra devamını okuyun
Şu anda yayınlanan güvenlik açığı açıklamasında yazarlar, CGI parametrelerinin CGI yürütülebilir dosyasına komut satırı parametreleri olarak gönderildiğini yazıyor. Windows.CreateProcess() görünüşte filtrelenmemiş olarak teslim edilirler. Windows kabuk meta karakterlerini HTTP isteklerine enjekte etmek, uzak saldırganların önceden kimlik doğrulaması yapmadan sunucudaki işletim sisteminde rastgele komutlar yürütmesine olanak tanır (CVE-2026-22781, CVSS4) 10.0risk”eleştirmen“).
TinyWeb programcısı Maxim Masiutin'in ayrı bir güvenlik notu daha fazla ayrıntıya giriyor. TinyWeb, eşittir işareti içermeyen CGI komut dosyalarına yönelik HTTP isteklerini işlerken bunları “ISINDEX” biçimindeki istekler olarak ele alır. Bu durumda kod, CVE girişinde açıklandığı gibi parametreleri komut satırı parametreleri olarak iletir. Masiutin örnek bir istek sunuyor GET /cgi-bin/script.exe?arg1&calc.exe HTTP/1.1. Windows komut işlemcisi “&” karakterini yorumlar ve bu durumda calc.exe'yi başlatır. Başka tehlikeli işaretler de var | < > ^ ( ) % ! " ' ` ; $. Masiutin, CVSS değerini CVSS 3.1 standardına göre hesaplar ve biraz farklı CVSS şiddet seviyesine ulaşır. 9.8bu aynı zamanda risk sınıflandırması anlamına da gelir”eleştirmen“başarıldı.
TinyWeb güncellemesi güvenlik açığını kapatıyor
Güvenlik açığının kötüye kullanılması için “cgi-bin” dizininde en az bir CGI betiğinin bulunması gerekir. TinyWeb 1.98 Kasım 2025 açığı kapatıyor. Geçen haftanın TinyWeb 1.99 sürümü şu anda Github projesinde bulunabilir. Bu aynı zamanda hizmet reddine yol açan arabellek taşması adı verilen başka bir güvenlik açığını da giderir (CVE-2024-34199, CVSS 8.6risk”yüksek“).
(Bilmiyorum)
Bir yanıt yazın