Opis podatności
CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu CivetWeb i koordynował proces ujawniania informacji.
Podatność CVE-2025-9648: Podatność w funkcji mg_handle_form_request biblioteki CivetWeb umożliwia zdalnym atakującym przeprowadzenie ataku DoS na serwer. Poprzez przesłanie specjalnie spreparowanego żądania HTTP POST zawierającego bajt zerowy (null byte) w treści, serwer wchodzi w nieskończoną pętlę podczas parsowania danych formularza. Wysłanie wielu takich złośliwych żądań prowadzi do całkowitego zużycia zasobów CPU i sprawia, iż usługa przestaje odpowiadać na kolejne żądania.
Problem został rozwiązany w commicie 782e189. Problem dotyczy wyłącznie biblioteki, udostępniany przez producenta plik wykonywalny nie jest podatny na tę lukę.
Podziękowania
Za zgłoszenie podatności dziękujemy Arturowi Łąckiemu.
