GoAhead

GOAhead  یک بسته کوچک وب سرور ایجاد شده توسط شرکت Embedthis Software LLC می باشد. این وب سرور کوچک در میان فروشندگان سخت افزار بسیار محبوب است، زیرا می تواند بر روی دستگاه هایی با منابع محدود مانند دستگاه های اینترنت اشیا (IoT)، روتر ها، چاپگرها و دیگر تجهیزات شبکه اجرا شود.

به تازگی آسیب پذیری در پردازش درخواست های multipart/form-data برنامه اصلی وب سرور GoAhead در نسخه های v4.1.1 ، v5.0.1 و v3.6.5 با درجه CVSS:9.8 کشف شده است. بر این اساس یک درخواست دستکاری شده ی خاص می تواند منجر به شرایط use-after-free در حین درخواست شده و درنتیجه تخریب ساختار پشته ای منجر به اجرای کامل کد را به همراه داشته باشد. مهاجم با سواستفاده از این آسیب‌پذیری میتواند کد های مخرب خود را با سطح دسترسی وب سرور اجرا نماید.

این درخواست می تواند در قالب های POST/GET باشد و نیازی به وجود منبع درخواست شده روی سرور نمی باشد. برای سواستفاده از این آسیب‌پذیری مهاجم می بایست احراز هویت شده یا منبعی را درخواست کند که نیاز به احراز هویت ندارد چرا که بررسی هویت کاربر قبل از بررسی درخواست صورت می پذیرد.

همه این دستگاه ها با آسیب پذیری اجرای کد از راه دور تحت تأثیر قرار نمی گیرند. آسیب پذیری فقط در شرایط ویژه ای تحت عنوان CVE-2017-17562 ردیابی می شود و فقط بر روی دستگاه هایی که دارای سرورهای *.nix می باشند و  پشتیبانی CGI را نیز با قابلیت های مرتبط با پویا اسکریپت های CGI دارند کار می کند.

CWE :

  • CWE-416: Use After Free

اخبار

CWE-416EmbedthisGoAheadwebserver

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.