Ao amin'ny server http (nhttpd) Fahamoram-pahavoazana
(CVE-2019-16278), izay ahafahan'ny mpanafika manatanteraka kaody lavitra amin'ny mpizara amin'ny fandefasana fangatahana HTTP noforonina manokana. Ny olana dia ho voavaha amin'ny famoahana (mbola tsy navoaka). Raha jerena amin'ny fampahalalam-baovao avy amin'ny motera fikarohana Shodan, dia ampiasaina amin'ny mpampiantrano 2000 eo ho eo ny mpizara http Nostromo.
Ny vulnerability dia vokatry ny hadisoana amin'ny asa http_verify, izay tsy afaka miditra amin'ny votoatin'ny rafi-drakitra ivelan'ny lahatahiry fakan'ny tranokala amin'ny alΓ lan'ny fandefasana ny filaharana ".%0d./" amin'ny lalana. Ny vulnerability dia mitranga satria ny fisavana ny fisian'ny tarehintsoratra "../" dia atao alohan'ny hanatanterahana ny asa normalization lalana, izay nesorina ny tarehintsoratra vaovao (%0d) amin'ny tady.
ho an'ny vulnerability, azonao atao ny miditra /bin/sh fa tsy script CGI ary manatanteraka ny fananganana akora rehetra amin'ny fandefasana fangatahana POST amin'ny URI "/.%0d./.%0d./.%0d./.%0d./bin /sh" ary mandefa ny baiko ao amin'ny vatan'ny fangatahana. Mahavariana fa tamin'ny taona 2011, dia efa nisy vulnerability mitovy amin'izany (CVE-2011-0751) efa napetraka tao Nostromo, izay namela fanafihana tamin'ny fandefasana ny fangatahana "/..%2f..%2f..%2fbin/sh".
Source: opennet.ru