CVE-2026-22903
CriticalSummary
Podatność CVE-2026-22903 dotyczy zmodyfikowanego serwera lighttpd, który nie chroni przed zbyt długimi ciasteczkami SESSIONID. Atakujący zdalnie, bez uwierzytelnienia, może wysłać odpowiednio skonstruowane żądanie HTTP, co prowadzi do przepełnienia bufora stosu i awarii serwera.
Risk Assessment
Ryzyko dla organizacji polega na możliwości zdalnego wykonania kodu, co może prowadzić do utraty kontroli nad serwerem oraz wycieku danych. Dodatkowo, awaria serwera może wpłynąć na dostępność usług.
Recommendation
Zaleca się aktualizację serwera lighttpd do najnowszej wersji oraz wprowadzenie ograniczeń dotyczących długości ciasteczek SESSIONID. Należy również rozważyć wdrożenie dodatkowych zabezpieczeń, aby chronić przed atakami typu buffer overflow.
Original NVD description (English source)
An unauthenticated remote attacker can send a crafted HTTP request containing an overly long SESSIONID cookie. This can trigger a stack buffer overflow in the modified lighttpd server, causing it to crash and potentially enabling remote code execution due to missing stack protections.

