CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-27613

Critical
Published: Translated: NVD NIST

Summary

TinyWeb to serwer WWW (HTTP, HTTPS) napisany w Delphi dla Win32. Wersje przed 2.01 mają podatność, która pozwala nieautoryzowanym atakującym zdalnym na obejście zabezpieczeń parametrów CGI serwera, co może prowadzić do ujawnienia kodu źródłowego lub zdalnego wykonania kodu (RCE).

Risk Assessment

Organizacje hostujące skrypty CGI, szczególnie w językach interpretowanych jak PHP, są narażone na poważne ryzyko, w tym możliwość zdalnego wykonania kodu. W przypadku wykorzystania podatnych wersji TinyWeb, konsekwencje mogą być poważne, w zależności od konfiguracji serwera.

Recommendation

Zaleca się aktualizację do wersji 2.01, aby usunąć podatność. Jeśli aktualizacja nie jest możliwa, należy włączyć `STRICT_CGI_PARAMS` oraz unikać używania CGI, które akceptują niebezpieczne flagi wiersza poleceń, a także rozważyć umieszczenie serwera za zaporą aplikacji webowej (WAF).

Original NVD description (English source)

TinyWeb is a web server (HTTP, HTTPS) written in Delphi for Win32. A vulnerability in versions prior to 2.01 allows unauthenticated remote attackers to bypass the web server's CGI parameter security controls. Depending on the server configuration and the specific CGI executable in use, the impact is either source code disclosure or remote code execution (RCE). Anyone hosting CGI scripts (particularly interpreted languages like PHP) using vulnerable versions of TinyWeb is impacted. The problem has been patched in version 2.01. If upgrading is not immediately possible, ensure `STRICT_CGI_PARAMS` is enabled (it is defined by default in `define.inc`) and/or do not use CGI executables that natively accept dangerous command-line flags (such as `php-cgi.exe`). If hosting PHP, consider placing the server behind a Web Application Firewall (WAF) that explicitly blocks URL query string parameters that begin with a hyphen (`-`) or contain encoded double quotes (`%22`).

Vulnerability data from NVD (NIST) · CISA KEV · EPSS