Platform
other
Component
http-server
Opgelost in
1.0.1
CVE-2026-24469 beschrijft een Path Traversal kwetsbaarheid in C++ HTTP Server, een HTTP/1.1 server. Deze kwetsbaarheid stelt een ongeauthenticeerde, externe aanvaller in staat om willekeurige bestanden van het serverbestandssysteem te lezen. De kwetsbaarheid treedt op in versies 1.0 en lager en is verholpen in versie 1.0.1.
Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid stelt een aanvaller in staat om gevoelige informatie van de server te extraheren, zoals configuratiebestanden, broncode of andere vertrouwelijke gegevens. De aanvaller kan dit doen door een speciaal ontworpen HTTP GET-verzoek te sturen dat ../-sequenties bevat. Deze sequenties omzeilen de beveiligingscontroles en stellen de aanvaller in staat om bestanden buiten de beoogde root directory te benaderen. De impact kan variëren afhankelijk van de gevoeligheid van de bestanden die toegankelijk zijn via de kwetsbaarheid, maar kan leiden tot datalekken en mogelijk compromittering van de server.
Er is momenteel geen publieke exploitatie van CVE-2026-24469 bekend. De kwetsbaarheid is gepubliceerd op 2026-01-24 en is opgenomen in het NVD-register. De EPSS score is momenteel niet bekend, maar gezien de eenvoud van de exploitatie en de potentiële impact, wordt een medium tot hoog risico aangenomen.
Systems running C++ HTTP Server versions 1.0 and earlier are at risk. This includes development environments, testing servers, and production deployments where this server is used. Shared hosting environments where users have the ability to craft HTTP requests are particularly vulnerable.
• linux / server:
journalctl -u cpp-http-server -g "Path Traversal"• generic web:
curl -I http://<server_ip>/../../../../etc/passwd• generic web:
grep -r "RequestHandler::handleRequest" /path/to/cpp-http-server/source_codedisclosure
Exploit Status
EPSS
0.03% (10% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-24469 is het upgraden naar versie 1.0.1 van C++ HTTP Server. Als een directe upgrade niet mogelijk is, overweeg dan om een Web Application Firewall (WAF) te implementeren die HTTP GET-verzoeken filtert op ../-sequenties. Configureer de WAF om verzoeken te blokkeren die deze patronen bevatten. Daarnaast kan het beperken van de toegang tot de server en het implementeren van strikte toegangscontroles helpen om de impact van een succesvolle exploitatie te verminderen. Na de upgrade, controleer de serverlogboeken op verdachte activiteiten en bevestig dat de kwetsbaarheid is verholpen door het verzenden van een testverzoek met een ../-sequentie en te controleren of de toegang wordt geweigerd.
No hay parche disponible. Se recomienda no utilizar la versión vulnerable del servidor HTTP C++ o implementar una solución de mitigación que valide y sanee las rutas de los archivos solicitados para evitar el recorrido de directorios. Considere utilizar un servidor HTTP más robusto y mantenido.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-24469 is a Path Traversal vulnerability affecting C++ HTTP Server versions 1.0 and earlier, allowing attackers to read arbitrary files.
You are affected if you are using C++ HTTP Server version 1.0 or earlier. Upgrade to version 1.0.1 to resolve the vulnerability.
Upgrade to version 1.0.1 of C++ HTTP Server. As a temporary workaround, implement a WAF or restrict file access permissions.
There is currently no evidence of CVE-2026-24469 being actively exploited.
Refer to the C++ HTTP Server project's official website or repository for the advisory related to CVE-2026-24469.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.