PT-2025-46190 · Busybox+2 · Busybox+2

Subyumatest

·

Publicado

2025-11-10

·

Atualizado

2026-04-11

·

CVE-2025-60876

CVSS v3.1

6.5

Média

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
Nome do Software Vulnerável e Versões Afetadas Versões do BusyBox até a 1.3.7
Descrição O software aceita caracteres CR (0x0D)/LF (0x0A) brutos e outros bytes de controle C0 dentro do request-target da requisição HTTP (caminho/query). Isso permite que um atacante divida a linha de requisição e injete cabeçalhos controlados. Especificamente, o software não rejeita espaços brutos (0x20) dentro do request-target, os quais deveriam ser codificados como '%20'. Isso impacta a estrutura da linha de requisição do HTTP/1.1, que requer um espaço entre o request-target e a versão do HTTP.
Recomendações Atualize o BusyBox para uma versão posterior à 1.3.7.

Exploit

Correção

Improper Access Control

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-284

Identificadores relacionados

AZL-69985
AZL-70043
BDU:2026-05705
CVE-2025-60876
ECHO-76A8-CCA4-145A
OESA-2026-1879
OESA-2026-1880
OESA-2026-1881
OPENSUSE-SU-2025:15834-1
OPENSUSE-SU-2026:20090-1
RHSA-2026:7418
SUSE-SU-2026:0235-1
SUSE-SU-2026:0236-1
SUSE-SU-2026:0872-1
SUSE-SU-2026:0892-1
SUSE-SU-2026:20134-1

Produtos afetados

Busybox
Debian
Red Os