cpp-httplib は、C++11 のシングルファイル、ヘッダーオンリーのクロスプラットフォーム HTTP/HTTPS ライブラリです。0.27.0 より前のバージョンでは、攻撃者制御の HTTP ヘッダーがサーバー可視のメタデータ、ロギング、および認証の決定に影響を与える脆弱性が存在します。攻撃者は、REMOTE_ADDR、REMOTE_PORT、LOCAL_ADDR、LOCAL_PORT という名前のヘッダーを注入し、httplib.h (headers.emplace) の read_headers() 経由でリクエストヘッダーのマルチマップに解析できます。その後、サーバーは同じヘッダー名を使用して独自の内部メタデータを後から追加します。

この脆弱性を悪用すると、攻撃者は REMOTEADDR, REMOTEPORT, LOCALADDR, LOCALPORT という名前のヘッダーを注入できます。これらのヘッダーは readheaders() 関数を通じてリクエストヘッダーマルチマップに解析され、その後、Server::processrequest 関数内で重複を削除せずにサーバー独自の内部メタデータが同じヘッダー名で追加されます。Request::getheadervalue が同じヘッダー名を返すため、攻撃者はサーバーの動作を制御し、機密情報を盗み出したり、悪意のあるコードを実行したりする可能性があります。この脆弱性は、Nginx などの Web サーバーで cpp-httplib を使用している場合に特に危険です。攻撃者は、認証をバイパスしたり、サーバーのログに偽情報を挿入したり、さらにはリモートコード実行を達成したりする可能性があります。

Organizations utilizing Nginx as a reverse proxy, load balancer, or web server, particularly those running versions 0.27.0 or earlier, are at significant risk. Shared hosting environments where multiple users share the same Nginx instance are also vulnerable, as an attacker could potentially exploit this vulnerability through a compromised website to impact other tenants.

• nginx / server:

# Check for Nginx versions <= 0.27.0
nginx -v

• nginx / server:

# Examine access logs for unusual REMOTE_ADDR or REMOTE_PORT values
grep -i 'REMOTE_ADDR|REMOTE_PORT' /var/log/nginx/access.log

• nginx / server:

# Check Nginx configuration for use of REMOTE_ADDR/REMOTE_PORT in logging
cat /etc/nginx/nginx.conf | grep -i 'REMOTE_ADDR|REMOTE_PORT'

1. 2025-12-05Disclosure

   disclosure

2. 2025-12-05Patch

   patch

1. 予約済み2025-12-04
2. 公開日2025-12-05
3. 更新日2025-12-10
4. EPSS 更新日2026-03-23

この脆弱性への最良の対策は、cpp-httplib をバージョン 0.27.0 以降にアップグレードすることです。アップグレードがシステムに影響を与える場合は、ロールバック手順を検討してください。Nginx の設定で、proxysetheader ディレクティブを使用して、REMOTEADDR, REMOTEPORT, LOCALADDR, LOCALPORT ヘッダーを削除または上書きすることを検討してください。WAF (Web Application Firewall) を使用して、これらのヘッダーの注入を検出し、ブロックすることも可能です。Sigma ルールまたは YARA パターンを使用して、悪意のあるヘッダーの存在を監視できます。アップグレード後、cpp-httplib のバージョンを確認し、脆弱性が修正されていることを確認してください。