JVNDB-2026-005950

ritlabsのTinyWebにおける複数の脆弱性

TinyWebはDelphiでWin32向けに書かれたウェブサーバー（HTTP、HTTPS）です。バージョン2.01より前のバージョンには、認証されていないリモート攻撃者がウェブサーバーのCGIパラメーターのセキュリティ制御をバイパスできる脆弱性があります。サーバーの構成や使用されている特定のCGI実行ファイルによって、影響はソースコードの漏洩やリモートコード実行（RCE）を引き起こします。脆弱なバージョンのTinyWebを使用し、CGIスクリプト（特にPHPのようなインタプリタ言語）をホストしているすべてのユーザーが影響を受けます。この問題はバージョン2.01で修正されています。すぐにアップグレードできない場合は、`STRICT_CGI_PARAMS`を有効にすること（`define.inc`でデフォルトで定義されています）および、ネイティブに危険なコマンドラインフラグ（例：`php-cgi.exe`）を受け入れるCGI実行ファイルを使用しないことを確実にしてください。PHPをホストしている場合は、URLクエリ文字列パラメーターでハイフン（`-`）で始まるものやエンコードされたダブルクォート（`%22`）を明示的にブロックするWebアプリケーションファイアウォール（WAF）の背後にサーバーを配置することを検討してください。

ritlabs

• TinyWeb 2.01 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : CGI Parameter Injection (Bypass of STRICT_CGI_PARAMS and EscapeShellParam)  Advisory  maximmasiutin/TinyWeb  GitHub

Maxim Masiutin

• Maxim Masiutin : TinyWeb CGI Parameter Injection (CVE-2026-27613) - Security Advisory

1. OSコマンドインジェクション(CWE-78) [その他]
2. 引数の挿入または変更(CWE-88) [その他]

1. CVE-2026-27613

1. National Vulnerability Database (NVD) : CVE-2026-27613
2. 関連文書 : Release TinyWeb v2.01  maximmasiutin/TinyWeb  GitHub
3. 関連文書 : Fix CGI parameter injection vulnerabilities & bump version to 2.01  maximmasiutin/TinyWeb@d9dbda8  GitHub

• [2026年03月05日]
    掲載