Nel server http (nhttpd) vulnerabilità
(CVE-2019-16278), che consente a un utente malintenzionato di eseguire in remoto codice sul server inviando una richiesta HTTP appositamente predisposta. Il problema verrà risolto nel rilascio (non ancora pubblicato). A giudicare dalle informazioni del motore di ricerca Shodan, il server http Nostromo viene utilizzato su circa 2000 host accessibili pubblicamente.
La vulnerabilità è causata da un errore nella funzione http_verify, che non consente l'accesso ai contenuti del file system al di fuori della directory principale del sito passando la sequenza ".%0d./" nel percorso. La vulnerabilità si verifica perché prima dell'esecuzione della funzione di normalizzazione del percorso viene eseguita una verifica della presenza dei caratteri "../", in cui i caratteri di nuova riga (%0d) vengono rimossi dalla stringa.
per vulnerabilità, puoi accedere a /bin/sh invece di uno script CGI ed eseguire qualsiasi costrutto di shell inviando una richiesta POST all'URI “/.%0d./.%0d./.%0d./.%0d./bin /sh " e passando i comandi nel corpo della richiesta. È interessante notare che nel 2011 in Nostromo era già stata risolta una vulnerabilità simile (CVE-2011-0751), che consentiva un attacco inviando la richiesta “/..%2f..%2f..%2fbin/sh”.
Fonte: opennet.ru