首頁 > 安全研究 > 安全通報 > 安全通告

GoAhead web 服務器多個漏洞安全通告

發布時間 2019-12-04

漏洞編號和級別


CVE編號:CVE-2019-5096,危險級別:嚴重,CVSS分值:廠商自評:9.8,官方未評定

CVE編號:CVE-2019-5097,危險級別:中危,CVSS分值:廠商自評:5.3,官方未評定


影響版本


GoAhead 5.0.1版本、4.1.1版本和3.6.5版本


漏洞概述


GoAhead是美國Embedthis Software公司的一款嵌入式Web服務器,提供開源和企業版本,用于全球數億臺設備中。Shodan 搜索發現了超過130萬個聯網系統。


思科 Talos 團隊的研究員在GoAhead web 服務器中發現了兩個漏洞,CVE-2019-5096和多部分/表單數據請求的處理方式相關。未認證攻擊者能夠利用該弱點觸發釋放后使用條件并通過發送特殊構造的 HTTP 請求的方式在服務器上執行任意代碼。CVE-2019-5097,可被攻擊者用于引發拒絕服務條件。


漏洞驗證


暫無POC/EXP。


修復建議


目前廠商已發布升級補丁以修復漏洞,詳情請關注廠商主頁:https://www.embedthis.com。


參考鏈接


https://blog.talosintelligence.com/2019/12/vulnerability-spotlight-EmbedThis-GoAhead.html

上一篇 下一篇