وبسرور lighttpd یکی از وبسرورهای سبک و پرکاربرد است که بهطور گسترده در سامانههای Embedded، تجهیزات شبکه، محصولات OEM و پنلهای مدیریتی تحت وب مورد استفاده قرار میگیرد. در بسیاری از این محصولات، نسخهای سفارشیسازیشده (اصلاحشده) از lighttpd بهکار گرفته میشود که خارج از چرخه بهروزرسانی رسمی پروژه اصلی بوده و شامل تغییرات اختصاصی در کد منبع است. اخیراً آسیبپذیری بحرانی با شناسه CVE-2026-22903 و شدت بحرانی با امتیاز 9.8 در نسخه اصلاحشده این وبسرور شناسایی شده است. این آسیبپذیری از نوع سرریز بافر پشتهای است و به مهاجم اجازه میدهد با ارسال یک درخواست HTTP دلخواه، منجر به از کار افتادن سرویس و در شرایط خاص، اجرای کد دلخواه گردد.
جزئیات آسیبپذیری
این آسیبپذیری ناشی از عدم اعتبارسنجی مناسب طول مقدار دریافتی کوکی SESSIONID در فرآیند پردازش درخواستهای HTTP در وبسرور lighttpd است. در پیادهسازی آسیبپذیر، مقدار کوکی SESSIONID که بهطور کامل تحت کنترل کاربر یا مهاجم است، بدون بررسی محدودیت طول، در یک بافر با اندازه ثابت روی پشته کپی میشود. در صورتی که مهاجم یک درخواست HTTP حاوی مقدار بیش از حد طولانی برای کوکی SESSIONID ارسال کند، داده ورودی از محدوده حافظه تخصیصیافته فراتر رفته و منجر به بازنویسی حافظه پشته میشود. این وضعیت میتواند باعث قطعی سرویس گردد و همچنین با توجه به ضعف مکانیزمهای حفاظتی پشته در سناریوهای خاص امکان اجرای کد دلخواه توسط مهاجم از راه دور نیز وجود دارد.
بردارحمله CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:Hبیانگر آن است که این نقص از راه دور، با پیچیدگی پایین و بدون نیاز به احراز هویت یا تعامل کاربر قابل بهرهبرداری است و در صورت سوءاستفاده موفق، منجر به نقض کامل محرمانگی، یکپارچگی و در دسترسبودن سرویس میشود.
نسخههای اصلاحشده lighttpd تحت تاثیر این آسیب پذیری قرار دارند.
- بهروزرسانی نسخه آسیبپذیر وبسرور lighttpd اصلاحشده
- دسترسی به سامانهها و تجهیزاتی که از lighttpd اصلاحشده در رابط وب انها استفاده میگردد به شبکه داخلی و IPهای مجاز محدود شود.
https://nvd.nist.gov/vuln/detail/CVE-2026-22903
- 3