cpp-httplib クライアントは、クロスオリジン HTTP リダイレクト時に、信頼できないホストに認証資格情報をリーク

CVE-2026-33745は、cpp-httplibのHTTPクライアントにおける認証情報の不適切な取り扱いに起因します。攻撃者が制御する悪意のあるサーバー、または侵害されたサーバーにクライアントがリクエストを送信し、そのサーバーが301、302、307、308などのHTTPリダイレクトを返した場合、クライアントは保存されているBasic Auth、Bearer Token、およびDigest Authの認証情報をそのまま転送します。これにより、本来のリクエスト先とは異なる攻撃者のホストへAuthorizationヘッダーが送信され、平文の認証情報が漏洩します。影響範囲は、このライブラリを使用して外部APIやサーバーと通信し、かつ認証情報を保持しているすべてのC++アプリケーションに及び、アカウントの乗っ取りや機密データへの不正アクセスを招くリスクがあります。

Applications and systems that rely on cpp-httplib for HTTP client functionality and handle authentication credentials are at risk. This includes applications that perform cross-origin requests and follow redirects, particularly those deployed in environments where the server infrastructure is not fully trusted or where third-party services are integrated.

• cpp: Examine application code for usage of cpp-httplib versions prior to 0.39.0. • generic web: Monitor HTTP traffic for unexpected redirects to unfamiliar domains, especially those involving authentication headers. • generic web: Inspect access logs for requests containing authentication headers followed by redirects to external domains. Look for patterns indicating potential credential leakage. • generic web: Use a network traffic analyzer (e.g., Wireshark) to capture and analyze HTTP requests and responses, specifically focusing on the Authorization header during redirects.

1. 2026-03-27Disclosure

   disclosure

1. 予約済み2026-03-23
2. 公開日2026-03-27
3. 更新日2026-04-01
4. EPSS 更新日2026-04-03

本脆弱性を解消するための唯一の根本的な対策は、cpp-httplibをバージョン0.39.0以降にアップグレードすることです。このバージョンでは、クロスオリジンリダイレクト時に認証情報が不適切に転送されないよう修正されています。アップデート手順としては、まずプロジェクトで使用しているヘッダーファイルを最新の0.39.0に差し替え、ビルドを再実行してください。パッチ適用後、リダイレクトが発生する通信フローにおいてAuthorizationヘッダーが意図しないホストに送信されていないことを、ネットワークパケットキャプチャやログを用いて検証することを推奨します。アップデートが困難な暫定的な回避策としては、信頼できないホストへの自動リダイレクトを無効化する実装検討が必要です。