GoAhead web 服务器多个漏洞安全通告
发布时间 2019-12-04漏洞编号和级别
CVE编号:CVE-2019-5096,危险级别:严重,CVSS分值:厂商自评:9.8,官方未评定
CVE编号:CVE-2019-5097,危险级别:中危,CVSS分值:厂商自评:5.3,官方未评定
影响版本
GoAhead 5.0.1版本、4.1.1版本和3.6.5版本
漏洞概述
GoAhead是美国Embedthis Software公司的一款嵌入式Web服务器,提供开源和企业版本,用于全球数亿台设备中。Shodan 搜索发现了超过130万个联网系统。
思科 Talos 团队的研究员在GoAhead web 服务器中发现了两个漏洞,CVE-2019-5096和多部分/表单数据请求的处理方式相关。未认证攻击者能够利用该弱点触发释放后使用条件并通过发送特殊构造的 HTTP 请求的方式在服务器上执行任意代码。CVE-2019-5097,可被攻击者用于引发拒绝服务条件。
漏洞验证
暂无POC/EXP。
修复建议
目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:https://www.embedthis.com。
参考链接
https://blog.talosintelligence.com/2019/12/vulnerability-spotlight-EmbedThis-GoAhead.html
京公网安备11010802024551号