Plateforme
other
Composant
http-server
Corrigé dans
1.0.1
Une vulnérabilité de type Path Traversal a été découverte dans C++ HTTP Server, un serveur HTTP/1.1 conçu pour gérer les connexions clients et servir les requêtes HTTP. Cette faille, présente dans les versions 1.0 et antérieures, permet à un attaquant non authentifié et distant de lire des fichiers arbitraires du système de fichiers du serveur. La vulnérabilité est due à un manque de validation des noms de fichiers dans la méthode RequestHandler::handleRequest, permettant l'utilisation de séquences ../ pour accéder à des fichiers en dehors du répertoire prévu.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de lire des fichiers sensibles stockés sur le serveur, tels que des fichiers de configuration, des clés privées, ou des données utilisateur. L'attaquant peut potentiellement obtenir des informations confidentielles qui pourraient être utilisées pour compromettre davantage le système. Bien que la description ne mentionne pas de mouvement latéral direct, l'accès aux fichiers de configuration pourrait révéler des informations d'identification permettant un accès à d'autres systèmes sur le réseau. Le rayon d'impact est limité aux fichiers accessibles par le serveur web, mais la sensibilité de ces fichiers peut être élevée.
Cette vulnérabilité a été rendue publique le 24 janvier 2026. Il n'y a pas d'indications d'une exploitation active à ce jour, ni d'ajout au catalogue KEV de CISA. Aucun proof-of-concept public n'est connu à ce jour, mais la nature de la vulnérabilité (Path Traversal) la rend potentiellement exploitable par des attaquants disposant de compétences techniques.
Systems running C++ HTTP Server versions 1.0 and earlier are at risk. This includes development environments, testing servers, and production deployments where this server is used. Shared hosting environments where users have the ability to craft HTTP requests are particularly vulnerable.
• linux / server:
journalctl -u cpp-http-server -g "Path Traversal"• generic web:
curl -I http://<server_ip>/../../../../etc/passwd• generic web:
grep -r "RequestHandler::handleRequest" /path/to/cpp-http-server/source_codedisclosure
Statut de l'Exploit
EPSS
0.03% (percentile 10%)
CISA SSVC
Vecteur CVSS
La solution recommandée est de mettre à jour C++ HTTP Server vers la version 1.0.1 ou supérieure, qui corrige cette vulnérabilité. En attendant, une mesure d'atténuation temporaire consiste à restreindre les permissions d'accès au répertoire contenant les fichiers sensibles. Il est également possible de configurer un pare-feu d'application web (WAF) pour bloquer les requêtes contenant des séquences ../. Vérifiez après la mise à jour que le serveur fonctionne correctement et que les fichiers sensibles restent inaccessibles via des requêtes HTTP malveillantes.
No hay parche disponible. Se recomienda no utilizar la versión vulnerable del servidor HTTP C++ o implementar una solución de mitigación que valide y sanee las rutas de los archivos solicitados para evitar el recorrido de directorios. Considere utilizar un servidor HTTP más robusto y mantenido.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-24469 is a Path Traversal vulnerability affecting C++ HTTP Server versions 1.0 and earlier, allowing attackers to read arbitrary files.
You are affected if you are using C++ HTTP Server version 1.0 or earlier. Upgrade to version 1.0.1 to resolve the vulnerability.
Upgrade to version 1.0.1 of C++ HTTP Server. As a temporary workaround, implement a WAF or restrict file access permissions.
There is currently no evidence of CVE-2026-24469 being actively exploited.
Refer to the C++ HTTP Server project's official website or repository for the advisory related to CVE-2026-24469.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.