CVE-2026-45372
CriticalCVSS 9.9Summary
W bibliotece cpp-httplib przed wersją 0.44.0, serwer nieprawidłowo przetwarzał nagłówki żądań, stosując dekodowanie procentowe do wszystkich wartości nagłówków z wyjątkiem Location i Referer. Weryfikacja poprawności była przeprowadzana przed dekodowaniem, co pozwalało na wprowadzenie niebezpiecznych danych, takich jak %0D%0A, które były następnie rozszerzane do pary bajtów .
Risk Assessment
Ta podatność może prowadzić do ataków typu HTTP Response Splitting, co zagraża integralności i poufności danych przesyłanych przez serwer. Może to umożliwić atakującym manipulację odpowiedziami serwera oraz wprowadzenie złośliwego kodu.
Recommendation
Zaleca się aktualizację biblioteki cpp-httplib do wersji 0.44.0 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt istniejącego kodu w celu identyfikacji potencjalnych zagrożeń związanych z nieprawidłowym przetwarzaniem nagłówków.
Original NVD description (English source)
cpp-httplib is a C++11 single-file header-only cross platform HTTP/HTTPS library. Prior to 0.44.0, when cpp-httplib's server parses an incoming request, it applies percent-decoding to every header value except Location and Referer. The validity check (is_field_value) is run before decoding, so encoded %0D%0A passes the check and is then expanded to a literal \r\n byte pair inside the stored header value. This vulnerability is fixed in 0.44.0.

