Plataforma
other
Componente
http-server
Corregido en
1.0.1
El servidor HTTP C++ es un servidor HTTP/1.1 diseñado para manejar conexiones de clientes y servir solicitudes HTTP. Las versiones 1.0 y anteriores son vulnerables a un ataque de Path Traversal. Esta vulnerabilidad permite a un atacante remoto no autenticado leer archivos arbitrarios del sistema de archivos del servidor mediante la creación de una solicitud HTTP GET maliciosa que contenga secuencias ../. La aplicación no sanitiza el nombre de archivo derivado de la ruta URL controlada por el usuario.
Un atacante puede explotar esta vulnerabilidad enviando solicitudes HTTP GET cuidadosamente elaboradas que incluyen secuencias de Path Traversal (../). Al manipular la ruta URL, el atacante puede eludir los controles de acceso y acceder a archivos fuera del directorio raíz previsto. Esto podría incluir archivos de configuración sensibles, contraseñas, claves de API o incluso código fuente. La información obtenida podría utilizarse para comprometer aún más el sistema, como la ejecución de código arbitrario o el robo de datos confidenciales. La falta de autenticación significa que cualquier usuario remoto puede intentar explotar esta vulnerabilidad.
Esta vulnerabilidad fue publicada el 24 de enero de 2026. No se ha reportado explotación activa en entornos reales, pero la naturaleza de Path Traversal la convierte en un objetivo atractivo para los atacantes. La ausencia de autenticación aumenta el riesgo de explotación. No se ha añadido a la lista KEV de CISA. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa.
Systems running C++ HTTP Server versions 1.0 and earlier are at risk. This includes development environments, testing servers, and production deployments where this server is used. Shared hosting environments where users have the ability to craft HTTP requests are particularly vulnerable.
• linux / server:
journalctl -u cpp-http-server -g "Path Traversal"• generic web:
curl -I http://<server_ip>/../../../../etc/passwd• generic web:
grep -r "RequestHandler::handleRequest" /path/to/cpp-http-server/source_codedisclosure
Estado del Exploit
EPSS
0.03% (10% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el servidor C++ HTTP a la versión 1.0.1 o superior, que corrige la vulnerabilidad de Path Traversal. Si la actualización no es inmediatamente posible, considere implementar reglas de firewall o proxy para restringir el acceso al servidor desde fuentes no confiables. Además, se recomienda revisar y fortalecer los controles de acceso a los archivos del servidor para limitar el impacto potencial de una explotación exitosa. Implementar un WAF (Web Application Firewall) puede ayudar a detectar y bloquear solicitudes maliciosas que intentan explotar esta vulnerabilidad.
No hay parche disponible. Se recomienda no utilizar la versión vulnerable del servidor HTTP C++ o implementar una solución de mitigación que valide y sanee las rutas de los archivos solicitados para evitar el recorrido de directorios. Considere utilizar un servidor HTTP más robusto y mantenido.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-24469 is a Path Traversal vulnerability affecting C++ HTTP Server versions 1.0 and earlier, allowing attackers to read arbitrary files.
You are affected if you are using C++ HTTP Server version 1.0 or earlier. Upgrade to version 1.0.1 to resolve the vulnerability.
Upgrade to version 1.0.1 of C++ HTTP Server. As a temporary workaround, implement a WAF or restrict file access permissions.
There is currently no evidence of CVE-2026-24469 being actively exploited.
Refer to the C++ HTTP Server project's official website or repository for the advisory related to CVE-2026-24469.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.