Vulnerability Details CVE-2023-27371
GNU libmicrohttpd before 0.9.76 allows remote DoS (Denial of Service) due to improper parsing of a multipart/form-data boundary in the postprocessor.c MHD_create_post_processor() method. This allows an attacker to remotely send a malicious HTTP POST packet that includes one or more '\0' bytes in a multipart/form-data boundary field, which - assuming a specific heap layout - will result in an out-of-bounds read and a crash in the find_boundary() function.
Exploit prediction scoring system (EPSS) score
EPSS Score 0.001
EPSS Ranking 24.0%
CVSS Severity
CVSS v3 Score 5.9
References
- https://git.gnunet.org/libmicrohttpd.git/commit/?id=6d6846e20bfdf4b3eb1b592c97520a532f724238
- https://github.com/0xhebi/CVEs/tree/main/GNU%20Libmicrohttpd
- https://lists.debian.org/debian-lts-announce/2023/03/msg00029.html
- https://lists.gnu.org/archive/html/libmicrohttpd/2023-02/msg00000.html
- https://git.gnunet.org/libmicrohttpd.git/commit/?id=6d6846e20bfdf4b3eb1b592c97520a532f724238
- https://github.com/0xhebi/CVEs/tree/main/GNU%20Libmicrohttpd
- https://lists.debian.org/debian-lts-announce/2023/03/msg00029.html
- https://lists.gnu.org/archive/html/libmicrohttpd/2023-02/msg00000.html
Products affected by CVE-2023-27371
-
cpe:2.3:a:gnu:libmicrohttpd:0.9.16
-
cpe:2.3:a:gnu:libmicrohttpd:0.9.17
-
cpe:2.3:a:gnu:libmicrohttpd:0.9.18
-
cpe:2.3:a:gnu:libmicrohttpd:0.9.19
-
cpe:2.3:a:gnu:libmicrohttpd:0.9.20
-
cpe:2.3:a:gnu:libmicrohttpd:0.9.21
-
cpe:2.3:a:gnu:libmicrohttpd:0.9.22
-
cpe:2.3:a:gnu:libmicrohttpd:0.9.23
-
cpe:2.3:a:gnu:libmicrohttpd:0.9.24
-
cpe:2.3:a:gnu:libmicrohttpd:0.9.25
-
cpe:2.3:a:gnu:libmicrohttpd:0.9.26
-
cpe:2.3:a:gnu:libmicrohttpd:0.9.27
-
cpe:2.3:a:gnu:libmicrohttpd:0.9.28
-
cpe:2.3:a:gnu:libmicrohttpd:0.9.29
-
cpe:2.3:a:gnu:libmicrohttpd:0.9.30
-
cpe:2.3:a:gnu:libmicrohttpd:0.9.31
-
cpe:2.3:a:gnu:libmicrohttpd:0.9.32
-
cpe:2.3:a:gnu:libmicrohttpd:0.9.33
-
cpe:2.3:a:gnu:libmicrohttpd:0.9.34
-
cpe:2.3:a:gnu:libmicrohttpd:0.9.35
-
cpe:2.3:a:gnu:libmicrohttpd:0.9.36
-
cpe:2.3:a:gnu:libmicrohttpd:0.9.37
-
cpe:2.3:a:gnu:libmicrohttpd:0.9.38
-
cpe:2.3:a:gnu:libmicrohttpd:0.9.39
-
cpe:2.3:a:gnu:libmicrohttpd:0.9.40
-
cpe:2.3:a:gnu:libmicrohttpd:0.9.41
-
cpe:2.3:a:gnu:libmicrohttpd:0.9.42
-
cpe:2.3:a:gnu:libmicrohttpd:0.9.43
-
cpe:2.3:a:gnu:libmicrohttpd:0.9.44
-
cpe:2.3:a:gnu:libmicrohttpd:0.9.45
-
cpe:2.3:a:gnu:libmicrohttpd:0.9.46
-
cpe:2.3:a:gnu:libmicrohttpd:0.9.47
-
cpe:2.3:a:gnu:libmicrohttpd:0.9.48
-
cpe:2.3:a:gnu:libmicrohttpd:0.9.49
-
cpe:2.3:a:gnu:libmicrohttpd:0.9.50
-
cpe:2.3:a:gnu:libmicrohttpd:0.9.51
-
cpe:2.3:a:gnu:libmicrohttpd:0.9.52
-
cpe:2.3:a:gnu:libmicrohttpd:0.9.53
-
cpe:2.3:a:gnu:libmicrohttpd:0.9.54
-
cpe:2.3:a:gnu:libmicrohttpd:0.9.55
-
cpe:2.3:a:gnu:libmicrohttpd:0.9.56
-
cpe:2.3:a:gnu:libmicrohttpd:0.9.57
-
cpe:2.3:a:gnu:libmicrohttpd:0.9.58
-
cpe:2.3:a:gnu:libmicrohttpd:0.9.59
-
cpe:2.3:a:gnu:libmicrohttpd:0.9.60
-
cpe:2.3:a:gnu:libmicrohttpd:0.9.61
-
cpe:2.3:a:gnu:libmicrohttpd:0.9.62
-
cpe:2.3:a:gnu:libmicrohttpd:0.9.63
-
cpe:2.3:a:gnu:libmicrohttpd:0.9.64
-
cpe:2.3:a:gnu:libmicrohttpd:0.9.65
-
cpe:2.3:a:gnu:libmicrohttpd:0.9.66
-
cpe:2.3:a:gnu:libmicrohttpd:0.9.67
-
cpe:2.3:a:gnu:libmicrohttpd:0.9.68
-
cpe:2.3:a:gnu:libmicrohttpd:0.9.69
-
cpe:2.3:a:gnu:libmicrohttpd:0.9.70
-
cpe:2.3:a:gnu:libmicrohttpd:0.9.71
-
cpe:2.3:a:gnu:libmicrohttpd:0.9.72
-
cpe:2.3:a:gnu:libmicrohttpd:0.9.73
-
cpe:2.3:a:gnu:libmicrohttpd:0.9.74
-
cpe:2.3:a:gnu:libmicrohttpd:0.9.75