Na serwerze http (nhttpd) słaby punkt
(CVE-2019-16278), który umożliwia atakującemu zdalne wykonanie kodu na serwerze poprzez wysłanie specjalnie spreparowanego żądania HTTP. Problem zostanie rozwiązany w wersji (jeszcze nieopublikowany). Sądząc po informacjach z wyszukiwarki Shodan, serwer http Nostromo jest używany na około 2000 publicznie dostępnych hostach.
Przyczyną luki jest błąd w funkcji http_verify, która pomija dostęp do zawartości systemu plików poza katalogiem głównym witryny, przekazując w ścieżce sekwencję „.%0d./”. Luka występuje, ponieważ przed wykonaniem funkcji normalizacji ścieżki sprawdzana jest obecność znaków „../”, podczas której znaki nowego wiersza (%0d) są usuwane z ciągu.
dla luki, możesz uzyskać dostęp do pliku /bin/sh zamiast skryptu CGI i wykonać dowolną konstrukcję powłoki, wysyłając żądanie POST do identyfikatora URI „/.%0d./.%0d./.%0d./.%0d./bin /sh” i przekazanie poleceń w treści żądania. Co ciekawe, w 2011 roku w Nostromo naprawiono już podobną lukę (CVE-2011-0751), która umożliwiała atak poprzez wysłanie żądania „/..%2f..%2f..%2fbin/sh”.
Źródło: opennet.ru