Podatność integer overflow w sterowniku HTTP.sys systemu Windows umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie kodu (RCE) przez sieć. Ze względu na brak wymogu uwierzytelnienia oraz pełne uprawnienia do systemu, podatność jest oceniana jako krytyczna (CVSS 9.8).
▸ Pokaż oryginał (EN)
Integer overflow or wraparound in Windows HTTP.sys allows an unauthorized attacker to execute code over a network.
Błąd należy do kategorii CWE-122 (heap-based buffer overflow) oraz CWE-190 (integer overflow or wraparound). Atakujący wysyła specjalnie spreparowane żądania HTTP do komponentu HTTP.sys, wywołując przepełnienie liczby całkowitej, które prowadzi do przepełnienia bufora na stercie (heap). Umożliwia to nadpisanie pamięci procesu i wykonanie dowolnego kodu w kontekście jądra systemu operacyjnego. Podatność jest eksploitowalna zdalnie, bez uwierzytelnienia i bez interakcji użytkownika.
Atakujący może zdalnie wykonać dowolny kod na poziomie jądra systemu Windows (kernel-mode RCE), uzyskując pełną kontrolę nad zaatakowanym hostem, w tym dostęp do poufnych danych, możliwość modyfikacji systemu oraz potencjalne lateral movement w sieci.
Należy zastosować patche dostępne u producenta zgodnie z referencjami: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-47291. Do czasu wdrożenia poprawki rozważ ograniczenie dostępu sieciowego do usług korzystających z HTTP.sys (np. IIS, WinRM) za pomocą firewall.
Systemy Windows korzystające ze sterownika HTTP.sys — wersje wskazane w referencjach producenta (Microsoft Security Response Center).
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HMicrosoft Windows 10 1607
OSMicrosoft< 10.0.14393.9234Microsoft Windows 10 1809
OSMicrosoft< 10.0.17763.8880Microsoft Windows 10 21h2
OSMicrosoft< 10.0.19044.7417Microsoft Windows 10 22h2
OSMicrosoft< 10.0.19045.7417Microsoft Windows 11 23h2
OSMicrosoft< 10.0.22631.7219Microsoft Windows 11 24h2
OSMicrosoft< 10.0.26100.8655Microsoft Windows 11 25h2
OSMicrosoft< 10.0.26200.8655Microsoft Windows 11 26h1
OSMicrosoft< 10.0.28000.2269Microsoft Windows Server 2012
OSMicrosoftr2Microsoft Windows Server 2016
OSMicrosoft< 10.0.14393.9234Microsoft Windows Server 2019
OSMicrosoft< 10.0.17763.8880Microsoft Windows Server 2022
OSMicrosoft< 10.0.20348.5256Microsoft Windows Server 2025
OSMicrosoft< 10.0.26100.32995
Powiązane podatności
RCE w Windows Server Update Service (WSUS) — deserializacja danych
A remote code execution vulnerability exists in Windows Domain Name System servers when they fail to properly ...
A remote code execution vulnerability exists when Hyper-V RemoteFX vGPU on a host server fails to properly val...
A remote code execution vulnerability exists when the Microsoft .NET Framework fails to validate input properl...
Microsoft Windows XP SP3, Windows XP x64 XP2, Windows Server 2003 SP2, Windows Vista, Windows 7 SP1, Windows S...