Katalog CVE

CVE-2026-45372

KrytyczneCVSS 9.9
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

W bibliotece cpp-httplib przed wersją 0.44.0, serwer nieprawidłowo przetwarzał nagłówki żądań, stosując dekodowanie procentowe do wszystkich wartości nagłówków z wyjątkiem Location i Referer. Weryfikacja poprawności była przeprowadzana przed dekodowaniem, co pozwalało na wprowadzenie niebezpiecznych danych, takich jak %0D%0A, które były następnie rozszerzane do pary bajtów .

Ocena ryzyka

Ta podatność może prowadzić do ataków typu HTTP Response Splitting, co zagraża integralności i poufności danych przesyłanych przez serwer. Może to umożliwić atakującym manipulację odpowiedziami serwera oraz wprowadzenie złośliwego kodu.

Rekomendacja

Zaleca się aktualizację biblioteki cpp-httplib do wersji 0.44.0 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt istniejącego kodu w celu identyfikacji potencjalnych zagrożeń związanych z nieprawidłowym przetwarzaniem nagłówków.

Oryginalny opis (angielski, źródło NVD)

cpp-httplib is a C++11 single-file header-only cross platform HTTP/HTTPS library. Prior to 0.44.0, when cpp-httplib's server parses an incoming request, it applies percent-decoding to every header value except Location and Referer. The validity check (is_field_value) is run before decoding, so encoded %0D%0A passes the check and is then expanded to a literal \r\n byte pair inside the stored header value. This vulnerability is fixed in 0.44.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS