Der Web-Server TinyWeb für Windows enthält eine Schwachstelle, durch die Angreifer aus dem Netz Schadcode einschleusen und ausführen können. Es gibt bereits eine aktualisierte Version, die diese Schwachstelle schließt.

Die Autoren schreiben in der veröffentlichten Schwachstellenbeschreibung, dass CGI-Parameter als Kommandozeilenparameter an die CGI-Executable mittels Windows.CreateProcess() übergeben werden, offenbar ungefiltert. Angreifer können durch das Einfügen von Windows-Shell-Metazeichen in HTTP-Anfragen aus dem Netz ohne vorherige Authentifizierung beliebige Befehle im Betriebssystem auf dem Server ausführen (CVE-2026-22781, CVSS4 10.0, Risiko „kritisch“).

Damit die Lücke ausgenutzt werden kann, muss im „cgi-bin“-Verzeichnis mindestens ein CGI-Skript liegen. Die Version TinyWeb 1.98 aus dem November 2025 schießt diese Lücke. Im Github-Projekt existiert bereits die Version 1.99 von TinyWeb. Diese schließt zudem eine weitere Sicherheitslücke, die in einem Denial of Service mündet (CVE-2024-34199, CVSS 8.6, Risiko „hoch“).

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE