Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

Canonical›Дистрибутивubuntu

Cpp-httplib

Уязвимости

10

Эксплуатируемые

0

Макс. CVSS

9.8

Макс. EPSS

0.01137

Распределение по критичности

Критический

1

Высокий

6

Средний

3

Низкий

0

Также сопоставлено как (исходные строки): cpp-httplib

Топ уязвимостей

CVE-2025-66570cpp-httplib - это кросс-платформа только для заголовков C++11, библиотека HTTP/HTTPS. До 0.27.0 уязвимость позволяет управляемым злоумышленником HTTP-заголовкам влиять на решения о сервере, находимся в состоянии журналирования и авторизации. Злоумышленник может вводить заголовки под названием REMOTE_ADDR, REMOTE_PORT, LOCAL_ADDR, LOCAL_PORT, которые анализируются в заголовок запроса multimp через read_headers() в httplib.h (headers.emplace), затем сервер позже прибавляет свои внутренние метаданные, используя те же имена заголовков в Server:process_request без удаления дубликатов. Поскольку Request::get_header_value возвращает первую запись для заголовка (id == 0), а заголовки, поставляемые клиентом, разбираются перед вставленными сервером заголовки, нисходящий код, который использует эти имена заголовков, может непреднамеренно использовать значения, контролируемые злоумышленником. Затронутые файлы/локации: cpp-httplib/httplib.h (read_headers, Server::process_request, Запрос::get_header_value, get_header_value_u64) и cpp-httplib/docker/main.cc (get_client_ip, nginx_access_logger, nginx_error_logger, nginx_error_logger). Вращается поверхность атаки: управляемые злоумышленником HTTP-заголовки во входящих запросах поступают в multimpap и в код регистрации, который считывается перенаправленные заголовки, что позволяет спуфировать IP, отравлять журнал и обходить авторизацию через затылок. Эта уязвимость фиксируется в 0.27.0.

CVE-2026-22776cpp-httplib представляет собой кросс-платформу только для заголовков C++11, только для заголовков, библиотека HTTP/HTTPS. До версии 0.30.1 в cpp-httplib существует уязвимость от отказа в обслуживании (DoS) из-за небезопасной обработки сжатых тел запросов HTTP (Content-Encoding: gzip, br и т.д.). Библиотека проверяет длину payload_max_s на основе сжатого размера данных, полученных из сети, но не ограничивает размер декомпрессированных данных, хранящихся в памяти.

CVE-2026-21428cpp-httplib - это кросс-платформа для кросс-платформы C++11 только для заголовка HTTP/HTTPS библиотека. До версии 0.30.0 функция ``write_headers`` не проверяет символы CR & LF в пользовательских заголовках, позволяя ненадежному значению заголовка выходить из заголовков. Эта уязвимость позволяет злоумышленникам добавлять дополнительные заголовки, неожиданно изменять тело запроса и вызывать атаку SSRF. В сочетании с сервером, который поддерживает http1.1 трубопровод (springboot, python twisted и т. Д.), Это может быть использовано для подделки запроса на стороне сервера (SSRF). Версия 0.30.0 решает эту проблему.

CVE-2025-53629В C++11 single-file header-only cross platform HTTP/HTTPS library cpp-httplib существует уязвимость, позволяющая злоумышленнику вызвать произвольное выделение памяти на сервере, потенциально приводящее к его исчерпанию. Уязвимость исправлена в версии 0.23.0. Источники: - [1] https://github.com/yhirose/cpp-httplib/security/advisories/GHSA-qjmq-h3cc-qv6w - [2] https://github.com/yhirose/cpp-httplib/security/advisories/GHSA-j6p8-779x-p5pw - [3] https://github.com/yhirose/cpp-httplib/commit/17ba303889b8d4d719be3879a70639ab653efb99 Источники: - [1] https://github.com/yhirose/cpp-httplib/security/advisories/GHSA-qjmq-h3cc-qv6w - [2] https://github.com/yhirose/cpp-httplib/security/advisories/GHSA-j6p8-779x-p5pw - [3] https://github.com/yhirose/cpp-httplib/commit/17ba303889b8d4d719be3879a70639ab653efb99

CVE-2025-52887cpp-httplib представляет собой кросс-платформу только для заголовков C++11, только для заголовков, библиотека HTTP/HTTPS. В версии 0.21.0, когда много полей заголовков http пропущены, библиотека не ограничивает количество заголовков, а память, связанная с заголовками, не будет выпущена при отключении соединения. Это приводит к потенциальному исчерпанию системной памяти и приводит к сбою сервера или невосприимчивости. Версия 0.22.0 содержит патч для выпуска.

CVE-2025-46728Библиотека cpp-httplib - это заголовок-only HTTP/HTTPS сервер и клиентская библиотека на C++. До версии 0.20.1 библиотека не обеспечивает соблюдение настроенных ограничений размера на входящие тела запросов при использовании `Transfer-Encoding: chunked` или когда не предоставлен заголовок `Content-Length`. Удалённый злоумышленник может отправить запрос с разбиением на chunks без завершающего chunk'а нулевой длины, вызывая неконтролируемое выделение памяти на сервере. Это приводит к потенциальному истощению системной памяти и вызывает сбой или неработоспособность сервера. Версия 0.20.1 исправляет проблему, обеспечивая соблюдение ограничений во время парсинга. Если ограничение превышено в любой момент чтения, соединение завершается немедленно. Доступно краткосрочное обходное решение через Reverse Proxy. Если обновление библиотеки сразу невозможно, разверните обратный прокси (например, Nginx, HAProxy) перед приложением `cpp-httplib`. Настройте прокси для обеспечения максимальных ограничений размера тела запроса, тем самым останавливая чрезмерно большие запросы до того, как они достигнут уязвимого кода библиотеки [1]. Источники: - [1] https://github.com/yhirose/cpp-httplib/security/advisories/GHSA-px83-72rx-v57c - [2] https://github.com/yhirose/cpp-httplib/commit/7b752106ac42bd5b907793950d9125a0972c8e8e

CVE-2023-26130Версии пакета yhirose/cpp-httplib до 0.12.4 подвержены атаке CRLF Injection, когда ненадежный ввод пользователя используется для установки заголовка content-type в HTTP-запросах .Patch, .Post, .Put и .Delete. Это может привести к логическим ошибкам и другим сбоям. **Примечание:** Эта проблема присутствует из-за неполного исправления для [CVE-2020-11709](https://security.snyk.io/vuln/SNYK-UNMANAGED-YHIROSECPPHTTPLIB-2366507).

CVE-2025-0825cpp-httplib версии v0.17.3 through v0.18.3 не фильтрует символы CRLF ("\r\n"), когда они предваряются нулевым байтом. Это позволяет злоумышленникам использовать CRLF-инъекцию, которая может привести к HTTP Response Splitting, XSS и многому другому.

CVE-2025-53628cpp-httplib - это C++11 однопоточная header-only кросс-платформенная библиотека HTTP/HTTPS. До версии 0.20.1 cpp-httplib не имела ограничения на уникальную строку, позволяя атакующему эксплуатировать это для произвольного выделения памяти. Эта уязвимость исправлена в версии 0.20.1 [1]. ПРИМЕЧАНИЕ. Эта уязвимость связана с CVE-2025-53629. Источники: - [1] https://github.com/yhirose/cpp-httplib/security/advisories/GHSA-j6p8-779x-p5pw

CVE-2025-66577cpp-httplib представляет собой кросс-платформу только для заголовков C++11, только для заголовков, библиотека HTTP/HTTPS. До 0.27.0 уязвимость позволяет управляемым злоумышленником HTTP-заголовкам влиять на решения о контролируемых сервером метаданных, журналировании и авторизации. Злоумышленник может предоставить заголовки X-Forwarded-For или X-Real-IP, которые принимаются безоговорочно get_client_ip() в docker/main.cc, вызывая журналы доступа и ошибок (nginx_access_logger / nginx_error_logger) для записи поддельных IP-адресов клиентов (отравление журналом / уклонение от аудита). Эта уязвимость фиксируется в 0.27.0.

Перейти к вендору →Открыть в каталоге с фильтром по продукту →