Le serveur web GoAhead est vulnérable à une exécution de code arbitraire

Le serveur web GoAhead est vulnérable à une exécution de code arbitraire

Des chercheurs de Talos Intelligence ont identifié une vulnérabilité importante affectant certaines versions des serveurs web GoAhead. Celle-ci permettait à un attaquant distant de prendre le contrôle d’un système en envoyant une requête spécifique.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

GoAhead est un serveur web intégré populaire conçu pour être un framework d’applications web et un serveur pour des appareils intégrés. Ce serveur met à disposition les fonctionnalités basiques d’un serveur HTTP ainsi qu’une plateforme de développement d’applications.

Les chercheurs de Talos Intelligence ont découvert que le traitement de requêtes GET et POST non authentifiées de type multi-part/form-data contenant plusieurs en-têtes (headers) Content-Disposition peut provoquer une erreur lors du stockage en mémoire des différentes parties de la requête.

Cette vulnérabilité, référencée CVE-2019-5096, provenait d’une erreur au sein du traitement des requêtes HTTP. Un attaquant envoyant une requête spécialement conçue était en mesure de provoquer un use-after-free et donc d’exécuter du code arbitraire sur le serveur GoAhead.

Dans la configuration par défaut, il n’est pas nécessaire que la ressource ciblée par la requête existe pour provoquer l’erreur. Il a été observé que cette vulnérabilité n’était pas exploitable lors du traitement de requêtes authentifiées.


Références

TALOS-2019-0888

Référence XMCO

CXN-2019-5555


Clément Mezino

Consultant Cert-XMCO