I http-servern (nhttpd) sårbarhet
(CVE-2019-16278), som gör att en angripare kan fjärrexekvera kod på servern genom att skicka en specialgjord HTTP-förfrågan. Problemet kommer att åtgärdas i release (ej publicerad ännu). Att döma av information från Shodans sökmotor används Nostromo http-server på cirka 2000 allmänt tillgängliga värdar.
Sårbarheten orsakas av ett fel i http_verify-funktionen, som missar åtkomst till filsysteminnehåll utanför webbplatsens rotkatalog genom att skicka sekvensen ".%0d./" i sökvägen. Sårbarheten uppstår på grund av att en kontroll av närvaron av "../"-tecken utförs innan sökvägsnormaliseringsfunktionen exekveras, där nyradstecken (%0d) tas bort från strängen.
för sårbarhet kan du komma åt /bin/sh istället för ett CGI-skript och köra valfri skalkonstruktion genom att skicka en POST-begäran till URI:n "/.%0d./.%0d./.%0d./.%0d./bin /sh " och skicka kommandona i brödtexten i begäran. Intressant nog, 2011 var en liknande sårbarhet (CVE-2011-0751) redan åtgärdad i Nostromo, vilket möjliggjorde en attack genom att skicka begäran "/..%2f..%2f..%2fbin/sh".
Källa: opennet.ru