由EmbedThis开发的GoAhead被称为“世界上最受欢迎的微型嵌入式Web服务器”。供应商表示GoAhead存在于数亿台设备中。在Shodan上搜索GoAhead目前显示超过130万个与互联网连接的系统。近日思科Talos研究人员发现了GoAhead Web服务器中的两个漏洞,其中包括一个可以用于远程执行代码的高危漏洞。
Talos发现的严重GoAhead漏洞与如何处理multi-part/form-data数据请求有关。未经身份验证的攻击者可以利用此漏洞来触发释放后使用的条件,并通过发送特制HTTP请求在服务器上执行任意代码。该安全漏洞的被标记为CVE-2019-5096,其CVSS评分为9.8。Talos研究人员在GoAhead Web服务器中发现的第二个漏洞是CVE-2019-5097,未经身份验证的攻击者可以利用此漏洞通过发送特制HTTP请求来导致拒绝服务(DoS)。恶意请求会通过触发进程中的无限循环来导致DoS条件。就严重性而言,此问题仅被视为“中等”。
Talos在8月下旬将其调查结果报告给了EmbedThis,该供应商于11月21日发布了两个安全漏洞的补丁程序。思科已经发布了针对这两个漏洞的公告,包括技术信息。
本文暂时没有评论,来添加一个吧(●'◡'●)