报告编号:B6-2019-120601

报告来源:360-CERT

报告作者:360-CERT

更新日期:2019-12-06

0x00 漏洞详情

CVE-2019-5096:GoAhead Web Server在multi-part/form-data数据请求的处理中存在一个可利用的代码执行漏洞。恶意的HTTP请求会导致在处理此请求期间出现UAF破坏堆结构从而导致代码执行。该请求可以在未经身份验证的情况下以GET或POST的形式发送,并且不需要所请求的资源在服务器上。

CVE-2019-5097:GoAhead Web Server在multi-part/form-data数据请求的处理中存在一个拒绝服务漏洞。恶意的HTTP请求会导致进程陷入无限循环。该请求可以在未经身份验证的情况下以GET或POST的形式发送,并且不需要所请求的资源在服务器上。

0x01 影响范围

存在漏洞的版本: v5.0.1,v.4.1.1和v3.6.5

不受影响的版本: v5.1.0

根据360CERT的QUAKE全网资产检索系统评估,全网有数百万设备运行着GoAhead服务,考虑到嵌入式设备更新的滞后性,受该漏洞影响的设备较广。 enter description here

0x02 修复方式

建议参考官方链接升级到不受影响的版本:

https://github.com/embedthis/goahead/releases

https://www.embedthis.com/goahead/download.html

0x03 时间线

2019-12-02 漏洞披露

2019-12-06 360CERT发布风险提示

0x04 参考链接

  1. https://talosintelligence.com/vulnerability_reports/TALOS-2019-0888
  2. https://talosintelligence.com/vulnerability_reports/TALOS-2019-0889

本文转自:https://cert.360.cn/warning/detail?id=44ddc2dbeac5a27a55f6b2478502c0ed


万箭穿心,习惯就好。