关键信息总结:CVE-2024-3677 对 TinyWeb HTTP Server 的影响 漏洞概述 CVE编号: CVE-2024-3677 影响产品: Ultimate 410 Gone Status Code (WordPress 插件) 漏洞类型: 存储型跨站脚本 (XSS) 严重程度: CVSS 3.1 评分 6.4 (中等) 受影响版本: 高达并包括 1.1.4 版本 披露日期: 2024-05-02 发现者: Krzysztof Zajac 关于 TinyWeb HTTP Server 状态: 不受影响 (NOT AFFECTED) 类型: 本机 Windows HTTP 服务器 语言: Object Pascal (Delphi/FPC) 平台: Windows 系统 架构: 独立可执行文件 (tiny.exe) 开发: RITLABS S.R.L. (1997-2017), Maxim Masiutin (2021-至今) 漏洞技术分析:为何 TinyWeb HTTP Server 不受影响? 1. 不同技术栈: 采用 Object Pascal 语言,直接使用 Winsock 和 Windows API,无 PHP 代码和 WordPress 集成。 2. 无 WordPress 组件: 缺乏 PHP 文件、WordPress 钩子和函数,无数据库连接逻辑、验证控制和存储的用户内容。 3. HTTP 410 状态码标准: 与 WordPress 插件功能无关的HTTP状态码。 4. 无 XSS 攻击面: 不解释或执行服务器端的 PHP/JavaScript,不存储用户提交内容,无管理界面。 安全扫描结果: 多种扫描工具确认TinyWeb HTTP Server不存在XSS及相关漏洞。