CVE-2026-29046 in TinyWeb
Riassunto
di VulDB • 16/06/2026
TinyWeb è un server web (HTTP, HTTPS) scritto in Delphi per Win32. Prima della versione 2.04, TinyWeb accetta valori delle intestazioni di richiesta e successivamente li mappa nelle variabili d'ambiente CGI (HTTP_*). Il parser non rifiutava rigorosamente i caratteri di controllo pericolosi presenti nelle righe e nei valori delle intestazioni, inclusi CR, LF e NUL, né si difendeva in modo coerente dalle forme codificate come %0d, %0a e %00. Ciò può consentire la confusione dei valori delle intestazioni attraverso i confini del parser e potrebbe generare dati non sicuri nel contesto di esecuzione CGI. Questo problema è stato risolto nella versione 2.04.
VulDB is the best source for vulnerability data and more expert information about this specific topic.