Vulnerabilidad en TinyWeb (CVE-2026-27613)
Gravedad CVSS v4.0:
CRÍTICA
Tipo:
CWE-78
Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
25/02/2026
Última modificación:
27/02/2026
Descripción
TinyWeb es un servidor web (HTTP, HTTPS) escrito en Delphi para Win32. Una vulnerabilidad en versiones anteriores a la 2.01 permite a atacantes remotos no autenticados eludir los controles de seguridad de parámetros CGI del servidor web. Dependiendo de la configuración del servidor y del ejecutable CGI específico en uso, el impacto es la divulgación de código fuente o la ejecución remota de código (RCE). Cualquiera que aloje scripts CGI (particularmente lenguajes interpretados como PHP) usando versiones vulnerables de TinyWeb está afectado. El problema ha sido parcheado en la versión 2.01. Si la actualización no es posible de inmediato, asegúrese de que `STRICT_CGI_PARAMS` esté habilitado (está definido por defecto en `define.inc`) y/o no utilice ejecutables CGI que acepten de forma nativa indicadores de línea de comandos peligrosos (como `php-cgi.exe`). Si aloja PHP, considere colocar el servidor detrás de un cortafuegos de aplicaciones web (WAF) que bloquee explícitamente los parámetros de cadena de consulta de URL que comienzan con un guion (`-`) o contienen comillas dobles codificadas (`%22`).
Impacto
Puntuación base 4.0
10.00
Gravedad 4.0
CRÍTICA