Mbedthis AppWeb URL协议格式串漏洞

- AV AC AU C I A
发布: 2025-04-13
修订: 2025-04-13

Mbedthis AppWeb是一款WEB应用服务程序。 Mbedthis AppWeb处理格式串存在问题,远程攻击者可以利用漏洞对应用程序进行拒绝服务工具,可能导致任意代码执行。 问题存在于MprLogToFile::logEvent()中,这里没有实际的文件描述符定义(通过编译启用日志功课能,但通过conf文件可关闭),部分错误会记录到STDERR中,由于部分原因,将调用: ======= start code ============ if (logFd &lt; 0 &amp;&amp; level &lt;= 1) { // // Always output fatal and error messages // mprFprintf(MPR_STDERR, buf); return; } // OPT -- could get length above write(logFd, buf, strlen(buf)); ========= end code ========== mprFprintf函数对输入缓冲区数据缺少过滤,提交恶意格式串数据作为参数,可导致触发典型的格式串问题,可使系统崩溃,存在任意代码执行的可能。 Mbedthis AppWeb 2.2.2 目前没有详细解决方案提供: <a href="http://www.appwebserver.org/forum/viewtopic.php?t=969" target="_blank">http://www.appwebserver.org/forum/viewtopic.php?t=969</a>

0%

漏洞利用/PoC

暂无可用Exp或PoC

受影响的平台与产品

当前有0条受影响产品信息