Tinyweb
Уязвимости
8
Эксплуатируемые
0
Макс. CVSS
10
Макс. EPSS
0.02174
Распределение по критичности
Критический
4
Высокий
3
Средний
1
Низкий
0
Затронутые диапазоны версий
< 1.98< 2.01< 2.02< 2.03< 2.04≤ 1.94
Также сопоставлено как (исходные строки): tinyweb
Топ уязвимостей
CVE-2026-27613TinyWeb - это веб-сервер (HTTP, HTTPS), написанный в Delphi для Win32. Уязвимость в версиях до 2.01 позволяет удаленным злоумышленникам без аутентификации обходить элементы безопасности CGI-параметра веб-сервера. В зависимости от конфигурации сервера и конкретного используемого CGI, воздействием является либо раскрытие исходного кода, либо удаленное выполнение кода (RCE). Любой, кто хостит CGI-скрипты (особенно интерпретируемые языки, такие как PHP), использует уязвимые версии TinyWeb, подвержен влиянии. Проблема исправлена в версии 2.01. Если обновление невозможно сразу, убедитесь, что `STRICT_CGI_PARAMS` включен (оно определено по умолчанию в `define.inc`) и/или не используйте CGI-исполнители, которые изначально принимают опасные флаги командной строки (например, `php-cgi.exe`). Если хостинг PHP, рассмотрите возможность размещения сервера за брандмауэром веб-приложения (WAF), который явно блокирует параметры строк запроса URL, которые начинаются с гифона (--`) или содержат закодированные двойные котировки (`%22`).
CVE-2026-22781TinyWeb - это веб-сервер (HTTP, HTTPS), написанный в Delphi для Win32. TinyWeb HTTP Server до версии 1.98 уязвим для инъекций команд ОС через параметры запроса в стиле CGI ISINDEX. Параметры запроса передаются в качестве аргументов командной строки в CGI, исполняемый через Windows CreateProcess(). Неаутентированный удаленный злоумышленник может выполнять произвольные команды на сервере, вводя метахарактеры оболочки Windows в HTTP-запросы. Эта уязвимость фиксируется в 1,98.
CVE-2026-28497TinyWeb - это веб-сервер (HTTP, HTTPS), написанный в Delphi для Win32. До версии 2.03 уязвимость переполнения между собой в режиме преобразования струны в число (_Val) позволяет неаутентифицированному удаленному злоумышленнику обходить ограничения Длиной контента и выполнять контрабанду HTTP-запроса. Это может привести к несанкционированному доступу, обходу фильтра безопасности и потенциальному отравлению кэша. Влияние имеет решающее значение для серверов, использующих постоянные соединения (Keep-Alive). Эта проблема была исправлена в версии 2.03.
CVE-2026-29046TinyWeb - это веб-сервер (HTTP, HTTPS), написанный в Delphi для Win32. До версии 2.04 TinyWeb принимает значения заголовков запроса, а затем отображает их в переменных среды CGI (HTTP_*). Парсер не строго отвергал опасные управляющие символы в строках заголовков и значениях заголовков, включая CR, LF и NUL, и не защищался последовательно от закодированных форм, таких как %0d, %0a и %00. Это может привести к путанице значений заголовка через границы парсера и может создавать небезопасные данные в контексте исполнения CGI. Эта проблема была исправлена в версии 2.04.
CVE-2026-27633TinyWeb - это веб-сервер (HTTP, HTTPS), написанный в Delphi для Win32. Версии до версии 2.02 имеют уязвимость отказа в обслуживании (DoS) через истощение памяти. Неаутентифицированные удаленные злоумышленники могут отправить запрос HTTP POST на сервер с исключительно большим заголовком «Длинный `Контент-Длина» (например, `2147483647`). Сервер непрерывно распределяет память для органа запроса («EntityBody`») при потоковой передачей полезной нагрузки без соблюдения каких-либо максимальных пределов, что приводит к потреблению всей доступной памяти и приводит к сбою сервера. Любые хостинговые услуги, использующие TinyWeb, подвержены влиянии. Версия 2.02 решает проблему. Патч вводит лимит `CMaxEntityBodySize` (установленный до 10MB) для максимального размера принятой полезной нагрузки. В качестве временного обходного пути, если обновление невозможно, рассмотрите возможность размещения сервера за брандмауэром веб-приложения (WAF) или обратной прокси (например, nginx или Cloudflare), настроенного на явное ограничение максимально допустимого размера тела HTTP-запроса (например, `client_max_body_size` в nginx).
CVE-2026-27630TinyWeb - это веб-сервер (HTTP, HTTPS), написанный в Delphi для Win32. Версии до версии 2.02 уязвимы для атаки отказа в обслуживании (DoS), известной как Slowloris. Сервер создает новый поток ОС для каждого входящего соединения без соблюдения максимального лимита паралльных валют или соответствующего тайм-аута запроса. Неаутентифицированный удаленный злоумышленник может исчерпать пределы параллонов и память сервера, открывая многочисленные соединения и отправляя данные исключительно медленно (например. 1 байт каждые несколько минут). Любые хостинговые услуги, использующие TinyWeb, подвержены влиянии. Версия 2.02 решает проблему. Патч вводит лимит 'CMaxConnections` (установленный на 512) и "разношенный тайм-аут" (установленный до 30 секунд). В качестве временного обходного пути, если обновление невозможно, рассмотрите возможность размещения сервера за надежным обратным прокси или брандмауэром веб-приложений (WAF), таким как nginx, HAProxy или Cloudflare, настроенных для буферизации неполных запросов и агрессивного обеспечения соблюдения ограничений и тайм-аутов.
CVE-2024-34199TinyWeb версии 1.94 и ниже позволяет неаутентифицированным удаленным злоумышленникам вызвать отказ в обслуживании (переполнение буфера) при отправке чрезмерно крупных элементов в строке запроса.
CVE-2024-5193В Ritlabs TinyWeb Server 1.94 была обнаружена уязвимость. Она была классифицирована как проблематичная. Затронута неизвестная функция компонента Request Handler. Манипуляция вводом %0D%0A приводит к crlf injection. Можно инициировать атаку удаленно. Эксплойт был раскрыт публично и может быть использован. VDB-265830 - идентификатор, присвоенный этой уязвимости. ПРИМЕЧАНИЕ: С поставщиком связались заранее по поводу этого раскрытия, но он никак не отреагировал.