近日，国家信息安全漏洞库（CNNVD）收到关于GoAhead远程代码执行漏洞（CNNVD-201912-058、CVE-2019-5096）和GoAhead拒绝服务漏洞（CNNVD-201912-050、CVE-2019-5097）情况的报送。成功利用漏洞的攻击者可对目标设备远程执行代码，或者造成设备拒绝服务。GoAhead Web Server v5.0.1、v4.1.1、v3.6.5等版本均受漏洞影响。目前，GoAhead官方已经发布新版本修复了上述漏洞，请用户请尽快升级到最新版本进行防护。

一、漏洞介绍

      GoAhead Web Server是一个开源的嵌入式Web 服务器，在物联网领域应用较为广泛，它被IBM、HP、Oracle、波音、D-Link和摩托罗拉使用。通过网络搜索，可发现超过70万的设备使用了GoAhead。

      GoAhead远程代码执行漏洞（CNNVD-201912-058、CVE-2019-5096）：GoAhead Web Server 在处理 multipart/form-data 类型的 HTTP 请求时会触发远程代码执行漏洞，未经身份验证的攻击者所发送的恶意HTTP请求可能触发Use-After-Free，破坏堆结构，导致任意命令执行。攻击者可以在未授权的情况下以 GET 或 POST 的形式发送数据包，并且所请求的资源不需要真实存在于目标服务器上。

      GoAhead拒绝服务漏洞（CNNVD-201912-050、CVE-2019-5097）：GoAhead Web Server在处理multi-part/form-data类型的HTTP请求时存在一个拒绝服务漏洞。未经身份验证的攻击者可通过发送一个恶意HTTP请求导致服务器处理流程进入死循环。攻击者可以在未授权的情况下以 GET 或 POST 的形式发送数据包，并且所请求的资源不需要真实存在于目标服务器上。

二、危害影响

      GoAhead远程代码执行漏洞（CNNVD-201912-058、CVE-2019-5096）：成功利用漏洞的攻击者可远程执行代码，查看设备的网络状况和文件结构，进而获取设备中存储的文件，甚至完全控制远程设备。GoAhead Web Server v5.0.1、v4.1.1、v3.6.5等版本均受漏洞影响。

      GoAhead拒绝服务漏洞（CNNVD-201912-050、CVE-2019-5097）：成功利用漏洞的攻击者，可以造成设备拒绝服务。GoAhead Web Server v5.0.1、v4.1.1、v3.6.5等版本均受漏洞影响。

三、修复建议

      目前，GoAhead官方已经发布新版本修复了漏洞，请用户请尽快升级到最新版本进行防护。更新链接如下：

      https://www.embedthis.com/goahead/download.html

      本通报由CNNVD技术支撑单位——深信服科技股份有限公司、北京长亭科技有限公司提供支持。

      CNNVD将继续跟踪上述漏洞的相关情况，及时发布相关信息。如有需要，可与CNNVD联系。

      联系方式: cnnvd@itsec.gov.cn