Katalog CVE

CVE-2026-27613

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

TinyWeb to serwer WWW (HTTP, HTTPS) napisany w Delphi dla Win32. Wersje przed 2.01 mają podatność, która pozwala nieautoryzowanym atakującym zdalnym na obejście zabezpieczeń parametrów CGI serwera, co może prowadzić do ujawnienia kodu źródłowego lub zdalnego wykonania kodu (RCE).

Ocena ryzyka

Organizacje hostujące skrypty CGI, szczególnie w językach interpretowanych jak PHP, są narażone na poważne ryzyko, w tym możliwość zdalnego wykonania kodu. W przypadku wykorzystania podatnych wersji TinyWeb, konsekwencje mogą być poważne, w zależności od konfiguracji serwera.

Rekomendacja

Zaleca się aktualizację do wersji 2.01, aby usunąć podatność. Jeśli aktualizacja nie jest możliwa, należy włączyć `STRICT_CGI_PARAMS` oraz unikać używania CGI, które akceptują niebezpieczne flagi wiersza poleceń, a także rozważyć umieszczenie serwera za zaporą aplikacji webowej (WAF).

Oryginalny opis (angielski, źródło NVD)

TinyWeb is a web server (HTTP, HTTPS) written in Delphi for Win32. A vulnerability in versions prior to 2.01 allows unauthenticated remote attackers to bypass the web server's CGI parameter security controls. Depending on the server configuration and the specific CGI executable in use, the impact is either source code disclosure or remote code execution (RCE). Anyone hosting CGI scripts (particularly interpreted languages like PHP) using vulnerable versions of TinyWeb is impacted. The problem has been patched in version 2.01. If upgrading is not immediately possible, ensure `STRICT_CGI_PARAMS` is enabled (it is defined by default in `define.inc`) and/or do not use CGI executables that natively accept dangerous command-line flags (such as `php-cgi.exe`). If hosting PHP, consider placing the server behind a Web Application Firewall (WAF) that explicitly blocks URL query string parameters that begin with a hyphen (`-`) or contain encoded double quotes (`%22`).

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS