Platform
cpp
Component
cpp-httplib
Opgelost in
0.39.1
CVE-2026-33745 beschrijft een kwetsbaarheid in cpp-httplib. De HTTP client stuurt Basic Auth, Bearer Token en Digest Auth credentials door naar willekeurige hosts bij cross-origin HTTP redirects. Dit kan leiden tot het lekken van credentials. Versies < 0.39.0 zijn kwetsbaar. De issue is opgelost in versie 0.39.0.
CVE-2026-33745 in cpp-httplib stelt applicaties die deze bibliotheek gebruiken bloot aan een ernstig risico op ongeautoriseerde toegang tot gevoelige gegevens. Stel je voor dat een webapplicatie, die cpp-httplib gebruikt om HTTP-verzoeken te doen, wordt gecompromitteerd door een kwaadwillende server. Deze server kan de applicatie een HTTP-redirect (301, 302, 307 of 308) sturen naar een door de aanvaller gecontroleerde server. Als de applicatie Basic Auth, Bearer Token of Digest Auth credentials opslaat (bijvoorbeeld voor authenticatie bij een andere service), worden deze credentials, zonder encryptie, meegestuurd in de Authorization header naar de redirect-bestemming. Dit betekent dat de aanvaller, die de redirect-server controleert, toegang kan krijgen tot deze credentials. De impact is aanzienlijk, omdat dit kan leiden tot ongeautoriseerde toegang tot andere systemen of services waar deze credentials geldig zijn. De 'blast radius' is afhankelijk van de privileges die de credentials verlenen. Het kan variëren van toegang tot een enkele applicatie tot volledige controle over een kritiek systeem. Het risico is verhoogd als de applicatie deze credentials gebruikt voor toegang tot gevoelige data, zoals financiële informatie of persoonlijke gegevens van gebruikers.
Op dit moment zijn er geen publiekelijk bekende exploitatie rapporten (KEV) voor CVE-2026-33745. Dit betekent dat er geen openbaar beschikbare Proof-of-Concept (POC) code is die aantoont hoe de kwetsbaarheid kan worden uitgebuit. Echter, de potentiële impact van de kwetsbaarheid is hoog, en het is aannemelijk dat een aanvaller een exploit kan ontwikkelen. De afwezigheid van publieke exploits betekent niet dat het risico onbeduidend is. Het is belangrijk om de kwetsbaarheid serieus te nemen en de aanbevolen mitigatie maatregelen te implementeren om de blootstelling te verminderen. De urgentie om te patchen is hoog, gezien de relatief eenvoudige manier waarop de kwetsbaarheid kan worden uitgebuit en de potentieel ernstige gevolgen van een succesvolle aanval.
Applications and systems that rely on cpp-httplib for HTTP client functionality and handle authentication credentials are at risk. This includes applications that perform cross-origin requests and follow redirects, particularly those deployed in environments where the server infrastructure is not fully trusted or where third-party services are integrated.
• cpp: Examine application code for usage of cpp-httplib versions prior to 0.39.0.
• generic web: Monitor HTTP traffic for unexpected redirects to unfamiliar domains, especially those involving authentication headers.
• generic web: Inspect access logs for requests containing authentication headers followed by redirects to external domains. Look for patterns indicating potential credential leakage.
• generic web: Use a network traffic analyzer (e.g., Wireshark) to capture and analyze HTTP requests and responses, specifically focusing on the Authorization header during redirects.
disclosure
Exploit Status
EPSS
0.04% (13% percentiel)
CISA SSVC
CVSS-vector
Om CVE-2026-33745 te verhelpen, is het essentieel om de cpp-httplib bibliotheek te upgraden naar versie 0.39.0 of hoger. Deze versie bevat de correctie die voorkomt dat credentials worden doorgegeven bij cross-origin redirects. Indien een upgrade direct niet mogelijk is, is het raadzaam om redirects te blokkeren of te valideren. Controleer de redirect-bestemming voordat deze wordt gevolgd en zorg ervoor dat deze overeenkomt met een vertrouwde bron. Een tijdelijke workaround kan zijn om de followRedirect optie uit te schakelen in de client configuratie, maar dit kan de functionaliteit van de applicatie beperken. Na de upgrade of implementatie van een workaround, is het belangrijk om de applicatie te testen om te verifiëren dat de credentials niet langer worden doorgegeven bij redirects. Test met verschillende scenario's, inclusief redirects naar onbekende of potentieel kwaadwillende domeinen. Controleer de netwerkverkeer met tools zoals Wireshark om te bevestigen dat de Authorization header niet wordt meegestuurd.
Update de cpp-httplib-bibliotheek naar versie 0.39.0 of hoger. Dit zal de kwetsbaarheid oplossen die het lekken van authenticatiegegevens naar niet-vertrouwde hosts tijdens cross-origin HTTP-omleidingen mogelijk maakt.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-33745 is a high-severity vulnerability in cpp-httplib versions up to 0.39.0 that allows attackers to intercept plaintext credentials via HTTP redirects.
You are affected if you are using cpp-httplib versions prior to 0.39.0 and your application follows HTTP redirects.
Upgrade to cpp-httplib version 0.39.0 or later to resolve the vulnerability. Consider WAF rules as an interim measure.
There is currently no indication of active exploitation, but the vulnerability's nature makes it a potential target.
Refer to the cpp-httplib project's repository or website for the official advisory and release notes.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.