Yn http tsjinner
(CVE-2019-16278), wêrtroch in oanfaller op ôfstân koade op 'e tsjinner kin útfiere troch in spesjaal makke HTTP-fersyk te ferstjoeren. It probleem sil wurde reparearre yn release
De kwetsberens wurdt feroarsake troch in flater yn 'e http_verify-funksje, dy't tagong mist ta de ynhâld fan bestânsysteem bûten de rootmap fan 'e side troch de folchoarder ".%0d./" yn it paad troch te jaan. De kwetsberens komt foar om't in kontrôle foar de oanwêzigens fan "../"-tekens útfierd wurdt foardat de paadnormalisaasjefunksje útfierd wurdt, wêrby't nijeline-tekens (%0d) út 'e tekenrige fuortsmiten wurde.
foar
Boarne: opennet.ru