关键信息 漏洞概述 漏洞名称: STM32electronics X-CUBE-AZRTOS-F7 HTTP server denial of service vulnerability CVE编号: CVE-2024-5038A, CVE-2024-5038B 摘要: 在STM32electronics X-CUBE-AZRTOS-WL 2.0.0的Next Component HTTP服务器功能中存在拒绝服务漏洞。攻击者可以通过发送恶意数据包触发此漏洞。 确认易受攻击的版本 STM32electronics X-CUBE-AZRTOS-H7 1.0.0 STM32electronics X-CUBE-AZRTOS-F7 1.1.0 STM32electronics X-CUBE-AZRTOS-G4 1.1.0 STM32electronics X-CUBE-AZRTOS-L5 1.0.0 STM32electronics X-CUBE-AZRTOS-G4 2.0.0 STM32electronics X-CUBE-AZRTOS-G4 2.0.0 STM32electronics X-CUBE-AZRTOS-G0 2.0.0 STM32electronics X-CUBE-AZRTOS-G0 3.0.0 STM32electronics X-CUBE-AZRTOS-WL 2.0.0 STM32electronics X-CUBE-AZRTOS-H7 3.0.0 CVSS评分 CVSS v3.1: AV:N/AC:L/PR:L/UI:SU/S:U/C:N/I:A/E:H CWE CWE-459: Incomplete Cleanup 漏洞细节 问题描述: 当处理HTTP PUT请求时,HTTP服务器会创建请求文件并打开它进行写入。如果在文件打开后发生错误,文件不会正确关闭。之后,任何后续HTTP请求涉及该文件将导致HTTP服务器响应404文件未找到错误。 利用方式: 攻击者可以通过发送 值大于第一个数据包中的数据内容的恶意数据包来触发此行为,导致额外的数据包被接收,最终导致错误返回。 缓解措施 开发人员可以通过结束PUT请求的应用程序回调请求通知函数来禁用PUT请求的处理。 时间线 2024-01-04: 厂商披露 2025-03-27: 厂商补丁发布 2025-04-02: 公开发布 发现者 Kelly Patterson of Cisco Talos