Múltiples vulnerabilidades en Small HTTP server de Smallsrv
Small HTTP server 3.06.36.
INCIBE ha coordinado la publicación de dos vulnerabilidades de severidad alta que afecta a Small HTTP server de Smallsrv, un servidor web muy ligero y portátil para Windows. La vulnerabilidad ha sido descubierta por Rafael Pedrero.
A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
- CVE-2025-41368: CVSS v4.0: 8.7 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-22
- CVE-2025-41359: CVSS v4.0: 8.5 | CVSS AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-428
La vulnerabilidad se ha corregido en la versión 3.06.38.
- CVE-2025-41368: problema en el servicio Small HTTP Server v3.06.36. Una vulnerabilidad de recorrido de rutas autenticada en ‘/‘ permite a los usuarios remotos eludir las restricciones previstas de SecurityManager y mostrar cualquier archivo si se dispone de los permisos adecuados fuera de la raíz del documento configurada en el servidor.
- CVE-2025-41359: vulnerabilidad relacionada con una ruta de servicio sin comillas en Small HTTP Server 3.06.36, que afecta específicamente al ejecutable ubicado en ‘C:\Program Files (x86)\shttps_mg\http.exe service‘. Esta configuración incorrecta permite a un atacante local colocar un ejecutable malicioso con el mismo nombre en un directorio de mayor prioridad, lo que hace que el servicio ejecute el archivo malicioso en lugar del legítimo. Aprovechar esta falla podría permitir la ejecución de código arbitrario, el acceso no autorizado al sistema o la interrupción del servicio. Para mitigar el riesgo, la ruta del servicio debe estar correctamente entre comillas y los sistemas deben mantenerse actualizados con parches de seguridad, al tiempo que se restringe el acceso físico y a la red.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2025-41368 | Alta | No | Smallsrv |
| CVE-2025-41359 | Alta | No | Smallsrv |
Fuente: link
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.
TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.