प्लेटफ़ॉर्म
other
घटक
http-server
में ठीक किया गया
1.0.1
C++ HTTP Server एक HTTP/1.1 सर्वर है जो क्लाइंट कनेक्शन को संभालने और HTTP अनुरोधों को संसाधित करने के लिए बनाया गया है। संस्करण 1.0 और उससे पहले में एक पथ पारगमन भेद्यता (Path Traversal vulnerability) मौजूद है, जो हमलावरों को सर्वर फ़ाइल सिस्टम से मनमाना फ़ाइलें पढ़ने की अनुमति देती है। यह भेद्यता RequestHandler::handleRequest विधि में असुरक्षित फ़ाइलनाम हैंडलिंग के कारण होती है। संस्करण 1.0.1 में इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावरों को सर्वर पर संग्रहीत संवेदनशील जानकारी तक अनधिकृत पहुंच प्राप्त करने की अनुमति देती है। हमलावर पथ पारगमन अनुक्रमों (../ sequences) का उपयोग करके सर्वर फ़ाइल सिस्टम में कहीं भी नेविगेट कर सकते हैं, जिससे कॉन्फ़िगरेशन फ़ाइलें, स्रोत कोड और अन्य गोपनीय डेटा उजागर हो सकते हैं। इस भेद्यता का उपयोग सर्वर पर कोड निष्पादित करने या अन्य सिस्टम तक पहुंचने के लिए भी किया जा सकता है, जिससे संभावित रूप से व्यापक क्षति हो सकती है। यह भेद्यता विशेष रूप से उन वातावरणों में गंभीर है जहां सर्वर महत्वपूर्ण डेटा संग्रहीत करता है या अन्य महत्वपूर्ण प्रणालियों के साथ इंटरैक्ट करता है।
यह भेद्यता अभी तक KEV में सूचीबद्ध नहीं है, लेकिन इसका CVSS स्कोर 7.5 (HIGH) है, जो मध्यम संभावना का संकेत देता है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद हो सकते हैं, जो हमलावरों के लिए इस भेद्यता का शोषण करना आसान बनाता है। NVD और CISA ने इस CVE के लिए तारीखें जारी की हैं, जो संभावित शोषण की गंभीरता को दर्शाता है।
Systems running C++ HTTP Server versions 1.0 and earlier are at risk. This includes development environments, testing servers, and production deployments where this server is used. Shared hosting environments where users have the ability to craft HTTP requests are particularly vulnerable.
• linux / server:
journalctl -u cpp-http-server -g "Path Traversal"• generic web:
curl -I http://<server_ip>/../../../../etc/passwd• generic web:
grep -r "RequestHandler::handleRequest" /path/to/cpp-http-server/source_codedisclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (10% शतमक)
CISA SSVC
CVSS वेक्टर
भेद्यता को कम करने के लिए, C++ HTTP Server को संस्करण 1.0.1 या बाद के संस्करण में तुरंत अपडेट करें। यदि अपग्रेड संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके पथ पारगमन हमलों को ब्लॉक करने पर विचार करें। फ़ाइलनामों को मान्य करने और सैनिटाइज करने के लिए सर्वर-साइड कोड में अतिरिक्त सुरक्षा उपाय लागू करें, यह सुनिश्चित करते हुए कि उपयोगकर्ता-नियंत्रित इनपुट सीधे फ़ाइल पथों में उपयोग नहीं किया जाता है। फ़ाइल एक्सेस को सख्त एक्सेस नियंत्रणों के साथ सीमित करें, केवल उन उपयोगकर्ताओं या प्रक्रियाओं को फ़ाइलों तक पहुंचने की अनुमति दें जिन्हें इसकी आवश्यकता है। अपग्रेड के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, सर्वर पर मनमाना फ़ाइलों को पढ़ने का प्रयास करके।
No hay parche disponible. Se recomienda no utilizar la versión vulnerable del servidor HTTP C++ o implementar una solución de mitigación que valide y sanee las rutas de los archivos solicitados para evitar el recorrido de directorios. Considere utilizar un servidor HTTP más robusto y mantenido.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-24469 C++ HTTP Server के संस्करण 1.0 और उससे पहले में एक पथ पारगमन भेद्यता है, जो हमलावरों को सर्वर फ़ाइल सिस्टम से मनमाना फ़ाइलें पढ़ने की अनुमति देती है।
यदि आप C++ HTTP Server के संस्करण 1.0 या उससे पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
C++ HTTP Server को संस्करण 1.0.1 या बाद के संस्करण में तुरंत अपडेट करें। यदि अपग्रेड संभव नहीं है, तो WAF या प्रॉक्सी का उपयोग करें।
हालांकि सक्रिय शोषण की पुष्टि नहीं हुई है, लेकिन उच्च CVSS स्कोर और संभावित PoC की उपलब्धता के कारण सक्रिय शोषण की संभावना है।
आधिकारिक सलाहकार के लिए C++ HTTP Server के डेवलपर की वेबसाइट या संबंधित सुरक्षा बुलेटिन बोर्ड देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।