Ostrzeżenia Zgłoś incydent
Cofnij
  • O nas
  • Baza wiedzy
  • Dla ekspertów
Ostrzeżenia Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy Bezpieczny telefon
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!

Podatność w oprogramowaniu CivetWeb
29 września 2025 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2025-9648
Data publikacji 29 września 2025
Producent podatnego oprogramowania CivetWeb
Nazwa podatnego oprogramowania CivetWeb
Podatne wersje Wszystkie poniżej 1.08
Typ podatności (CWE) Improper Neutralization of Null Byte or NUL Character (CWE-158)
Źródło zgłoszenia Zgłoszenie do CERT Polska

Opis podatności

CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu CivetWeb i koordynował proces ujawniania informacji.

Podatność CVE-2025-9648: Podatność w funkcji mg_handle_form_request biblioteki CivetWeb umożliwia zdalnym atakującym przeprowadzenie ataku DoS na serwer. Poprzez przesłanie specjalnie spreparowanego żądania HTTP POST zawierającego bajt zerowy (null byte) w treści, serwer wchodzi w nieskończoną pętlę podczas parsowania danych formularza. Wysłanie wielu takich złośliwych żądań prowadzi do całkowitego zużycia zasobów CPU i sprawia, że usługa przestaje odpowiadać na kolejne żądania.

Problem został rozwiązany w commicie 782e189. Problem dotyczy wyłącznie biblioteki, udostępniany przez producenta plik wykonywalny nie jest podatny na tę lukę.

Podziękowania

Za zgłoszenie podatności dziękujemy Arturowi Łąckiemu.

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.