JVNDB-2026-005479 | |
ritlabsのTinyWebにおける複数の脆弱性 | |
| 概要 | |
TinyWebはWin32向けにDelphiで書かれたWebサーバー(HTTP、HTTPS)です。バージョン2.02より前のバージョンには、メモリ枯渇によるサービス拒否(DoS)脆弱性が存在します。認証されていないリモート攻撃者が非常に大きな`Content-Length`ヘッダー(例:`2147483647`)を含むHTTP POSTリクエストをサーバーに送信すると、サーバーはリクエストボディ(`EntityBody`)のメモリを無制限に割り当て続け、ペイロードをストリーミングしながら最大サイズの制限を適用しません。そのため、利用可能なすべてのメモリが消費され、サーバーはクラッシュします。TinyWebを使用してサービスを提供しているすべてのユーザーに影響があります。バージョン2.02でこの問題は修正されました。パッチにより、受け入れるペイロードの最大サイズを10MBに制限する`CMaxEntityBodySize`が導入されました。すぐにアップグレードできない場合の一時的な対策としては、Webアプリケーションファイアウォール(WAF)やnginxやCloudflareのようなリバースプロキシの背後にサーバーを配置し、HTTPリクエストボディの最大許容サイズを明示的に制限する設定(例:nginxの`client_max_body_size`)を検討することを推奨します。 | |
| CVSS による深刻度 (CVSS とは?) | |
|
CVSS v3 による深刻度
基本値: 7.5 (重要) [NVD値]
| |
| 影響を受けるシステム | |
|
| |
ritlabs | |
本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。 | |
| 想定される影響 | |
当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 | |
| 対策 | |
正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 | |
| ベンダ情報 | |
GitHub | |
| CWEによる脆弱性タイプ一覧 CWEとは? | |
| |
| 共通脆弱性識別子(CVE) CVEとは? | |
|
| |
| 参考情報 | |
| |
| 更新履歴 | |
|
| 公表日 | 2026/02/26 |
| 登録日 | 2026/03/02 |
| 最終更新日 | 2026/03/02 |
