Podatność integer overflow w procedurze konwersji ciągu znaków na liczbę całkowitą (_Val) w serwerze TinyWeb (wersje przed 2.03) pozwala nieuwierzytelnionemu atakującemu zdalnie ominąć ograniczenia nagłówka Content-Length i przeprowadzić atak HTTP Request Smuggling. Podatność jest szczególnie krytyczna dla serwerów korzystających z połączeń trwałych (Keep-Alive).
▸ Pokaż oryginał (EN)
TinyWeb is a web server (HTTP, HTTPS) written in Delphi for Win32. Prior to version 2.03, an integer overflow vulnerability in the string-to-integer conversion routine (_Val) allows an unauthenticated remote attacker to bypass Content-Length restrictions and perform HTTP Request Smuggling. This can lead to unauthorized access, security filter bypass, and potential cache poisoning. The impact is critical for servers using persistent connections (Keep-Alive). This issue has been patched in version 2.03.
Błąd integer overflow w wewnętrznej procedurze _Val odpowiedzialnej za konwersję ciągu znaków na wartość całkowitą powoduje nieprawidłowe przetwarzanie wartości nagłówka Content-Length w żądaniach HTTP. Atakujący może spreparować żądanie HTTP z wartością Content-Length powodującą przepełnienie, co skutkuje rozbieżnością między tym, jak serwer frontendowy i backendowy interpretują granice żądań — stanowiącą istotę ataku HTTP Request Smuggling (CWE-444). Atak nie wymaga żadnego uwierzytelnienia ani interakcji użytkownika.
Atakujący może uzyskać nieautoryzowany dostęp do zasobów, ominąć filtry bezpieczeństwa oraz potencjalnie zatruć cache serwera (cache poisoning), co może wpłynąć na innych użytkowników korzystających z serwera.
Należy zaktualizować TinyWeb do wersji 2.03, w której problem został naprawiony. Patch dostępny w repozytorium GitHub projektu (commit d2edd0322c3d74beee0a6c0191299b8946695d4e). Do czasu aktualizacji zaleca się rozważenie wyłączenia połączeń Keep-Alive oraz ograniczenia dostępu do serwera za pomocą firewall.
Ritlabs TinyWeb — wersje przed 2.03 (serwer HTTP/HTTPS napisany w Delphi dla platformy Win32); podatność szczególnie dotkliwa przy włączonych połączeniach Keep-Alive.
Podatność została naprawiona w wersji 2.03. Szczegółowe informacje dostępne w security advisory projektu na GitHub (GHSA-rp8j-cx7r-mw9f).
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XRitlabs Tinyweb
APPRitlabs< 2.03
Powiązane podatności
TinyWeb: nieprawidłowa walidacja nagłówków HTTP umożliwia header injection
RCE lub ujawnienie kodu źródłowego w TinyWeb przez pominięcie kontroli parametrów CGI
Command injection w TinyWeb HTTP Server via parametry CGI ISINDEX
TinyWeb is a web server (HTTP, HTTPS) written in Delphi for Win32. Versions prior to version 2.02 are vulnerab...
TinyWeb is a web server (HTTP, HTTPS) written in Delphi for Win32. Versions prior to version 2.02 have a Denia...