Plataforma
other
Componente
http-server
Corrigido em
1.0.1
Uma vulnerabilidade de Path Traversal foi descoberta no C++ HTTP Server, afetando versões até 1.0. Essa falha permite que um atacante remoto não autenticado leia arquivos arbitrários do sistema de arquivos do servidor. A vulnerabilidade ocorre devido à falta de sanitização do nome do arquivo derivado do caminho da URL, permitindo a concatenação direta com o diretório de arquivos base. A versão 1.0.1 corrige essa falha.
Um atacante pode explorar essa vulnerabilidade enviando uma requisição HTTP GET maliciosa contendo sequências ../. Ao manipular o caminho da URL, o atacante pode contornar as restrições de acesso e ler arquivos confidenciais no sistema de arquivos do servidor. Isso pode incluir arquivos de configuração, código-fonte, chaves de API ou outros dados sensíveis. O impacto potencial é a exposição de informações confidenciais e a possível comprometimento do servidor. A ausência de autenticação torna a exploração relativamente simples, aumentando o risco.
A vulnerabilidade foi divulgada em 24 de janeiro de 2026. Não há informações disponíveis sobre exploração ativa ou a inclusão da CVE no KEV da CISA. A ausência de um Proof of Concept (PoC) público dificulta a avaliação do risco imediato, mas a natureza da vulnerabilidade de Path Traversal sugere que um PoC pode ser desenvolvido rapidamente.
Systems running C++ HTTP Server versions 1.0 and earlier are at risk. This includes development environments, testing servers, and production deployments where this server is used. Shared hosting environments where users have the ability to craft HTTP requests are particularly vulnerable.
• linux / server:
journalctl -u cpp-http-server -g "Path Traversal"• generic web:
curl -I http://<server_ip>/../../../../etc/passwd• generic web:
grep -r "RequestHandler::handleRequest" /path/to/cpp-http-server/source_codedisclosure
Status do Exploit
EPSS
0.03% (percentil 10%)
CISA SSVC
Vetor CVSS
A mitigação primária é a atualização para a versão 1.0.1 do C++ HTTP Server, que corrige a vulnerabilidade de Path Traversal. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao servidor por meio de um firewall ou proxy reverso. Configure o servidor web para desabilitar o acesso a diretórios e arquivos sensíveis. Monitore os logs do servidor em busca de tentativas de acesso não autorizado ou padrões de requisição suspeitos.
No hay parche disponible. Se recomienda no utilizar la versión vulnerable del servidor HTTP C++ o implementar una solución de mitigación que valide y sanee las rutas de los archivos solicitados para evitar el recorrido de directorios. Considere utilizar un servidor HTTP más robusto y mantenido.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-24469 is a Path Traversal vulnerability affecting C++ HTTP Server versions 1.0 and earlier, allowing attackers to read arbitrary files.
You are affected if you are using C++ HTTP Server version 1.0 or earlier. Upgrade to version 1.0.1 to resolve the vulnerability.
Upgrade to version 1.0.1 of C++ HTTP Server. As a temporary workaround, implement a WAF or restrict file access permissions.
There is currently no evidence of CVE-2026-24469 being actively exploited.
Refer to the C++ HTTP Server project's official website or repository for the advisory related to CVE-2026-24469.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.