Trung tâm Điều phối CERT Carnegie Mellon (CERT/CC) cảnh báo về lỗ hổng nghiêm trọng trong phiên bản lighttpd 1.4.50 trở về trước. Lỗ hổng này cho phép kẻ tấn công từ xa, không xác thực khai thác các truy vấn HTTP độc hại, dẫn đến crash máy chủ web và có thể rò rỉ dữ liệu nhạy cảm.
Mặc dù lighttpd đã giải quyết vấn đề này vào năm 2018 nhưng nhiều sản phẩm vẫn chưa được vá, gây ra nguy cơ mất an ninh.
Vào tháng 4/2024, Binarly phát hiện ra rằng lỗ hổng này vẫn tồn tại trong nhiều sản phẩm.
Các chuyên gia cho biết, nếu không có ID CVE, nhiều tổ chức không nhận thấy sự cần thiết của việc vá lỗi.
lighttpd hiện đã nhận được CVE-2018-25103 để chính thức xác định lỗ hổng và cảnh báo các đối tác trong chuỗi cung ứng áp dụng các bản cập nhật.
Nguồn: Security Online