TinyWeb-Server führt Schadocde aus dem Netz aus

Der in Delphi programmierte, schlanke Web-Server TinyWeb für Windows enthält eine Schwachstelle, durch die Angreifer aus dem Netz Schadcode einschleusen und ausführen können. Eine aktualisierte Version stopft die Sicherheitslücke.

In der nun veröffentlichten Schwachstellenbeschreibung schreiben die Autoren, dass CGI-Parameter als Kommandozeilenparameter an die CGI-Executable mittels Windows.CreateProcess() übergeben werden, offenbar ungefiltert. Durch das Einfügen von Windows-Shell-Metazeichen in HTTP-Anfragen können Angreifer aus dem Netz ohne vorherige Authentifizierung beliebige Befehle im Betriebssystem auf dem Server ausführen (CVE-2026-22781, CVSS4 10.0, Risiko „kritisch“).

Eine eigene Sicherheitsmitteilung vom TinyWeb-Programmierer Maxim Masiutin geht weiter in die Details. Beim Verarbeiten von HTTP-Anfragen an CGI-Skripte, die kein Gleichheitszeichen enthalten, betrachtet TinyWeb diese als Anfragen im „ISINDEX“-Format. Die Parameter reicht der Code in dem Fall als Kommandozeilenparameter wie im CVE-Eintrag beschrieben durch. Als Beispiel-Anfrage nennt Masiutin GET /cgi-bin/script.exe?arg1&calc.exe HTTP/1.1. Das „&“-Zeichen interpretiert der Windows-Befehlsprozessor und startet in diesem Fall calc.exe. Weitere gefährliche Zeichen sind demnach | < > ^ ( ) % ! " ' ` ; $. Masiutin berechnet den CVSS-Wert nach CVSS-Standard 3.1 und kommt auf den leicht abweichenden Schweregrad CVSS 9.8, was ebenfalls die Risikoeinstufung „kritisch“ erreicht.

TinyWeb-Update schließt das Sicherheitsleck

Um die Lücke zu missbrauchen, muss im „cgi-bin“-Verzeichnis mindestens ein CGI-Skript liegen. Die Lücke schließt TinyWeb 1.98 aus dem November 2025. Aktuell findet sich im Github-Projekt die Version 1.99 von TinyWeb aus der vergangenen Woche. Die schließt zudem eine weitere Schwachstelle, einen Pufferüberlauf, der in einen Denial of Service mündet (CVE-2024-34199, CVSS 8.6, Risiko „hoch“).

(dmk)