CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-46527

HighCVSS 7.5
Published: Updated: Translated: NVD NIST

Summary

Biblioteka cpp-httplib przed wersją 0.44.0 ma podatność, która pozwala atakującemu na wysłanie żądania HTTP z nagłówkiem X-Forwarded-For, który nie zawiera prawidłowych segmentów IP. To prowadzi do wywołania funkcji get_client_ip() na pustym wektorze, co skutkuje nieokreślonym zachowaniem w C++.

Risk Assessment

Podatność ta może prowadzić do nieprawidłowego zakończenia procesu, co skutkuje odmową usługi. Organizacje mogą doświadczyć przerw w dostępności usług korzystających z tej biblioteki.

Recommendation

Zaleca się aktualizację biblioteki cpp-httplib do wersji 0.44.0 lub nowszej, aby usunąć tę podatność.

Original NVD description (English source)

cpp-httplib is a C++11 single-file header-only cross platform HTTP/HTTPS library. Prior to 0.44.0, When the server has called Server::set_trusted_proxies() with a non-empty trusted-proxy list, an attacker can send an HTTP request that includes an X-Forwarded-For header whose value parses to no valid IP segments. The code path then executes get_client_ip(), which calls front() on an empty std::vector—undefined behavior in C++. On typical implementations this manifests as abnormal process termination (denial of service). With Sanitizers enabled, you get an explicit runtime diagnostic. This vulnerability is fixed in 0.44.0.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS