平台
other
组件
http-server
修复版本
1.0.1
CVE-2026-24469 描述了 C++ HTTP Server 中一个路径遍历漏洞。该漏洞允许未经身份验证的远程攻击者通过精心构造的 HTTP GET 请求读取服务器文件系统中的任意文件,因为应用程序未能正确清理用户提供的 URL 路径中的文件名。受影响的版本包括 1.0 及更早版本,建议升级到 1.0.1 版本以修复此问题。
攻击者可以利用此路径遍历漏洞访问服务器文件系统中的敏感信息,例如配置文件、源代码、数据库凭据等。攻击者可以通过在 HTTP GET 请求中包含 '../' 序列来遍历目录结构,从而访问超出预期范围的文件。如果服务器以特权用户身份运行,攻击者甚至可能获得对整个系统的控制权。 这种漏洞类似于其他文件访问漏洞,可能导致数据泄露、系统入侵等严重后果。
该漏洞已公开披露,且 CVSS 评分为高危。目前尚无公开的利用程序 (PoC),但由于漏洞的严重性和易利用性,预计未来可能会出现。建议密切关注安全社区的动态,及时采取应对措施。该漏洞尚未被添加到 CISA KEV 目录。
Systems running C++ HTTP Server versions 1.0 and earlier are at risk. This includes development environments, testing servers, and production deployments where this server is used. Shared hosting environments where users have the ability to craft HTTP requests are particularly vulnerable.
• linux / server:
journalctl -u cpp-http-server -g "Path Traversal"• generic web:
curl -I http://<server_ip>/../../../../etc/passwd• generic web:
grep -r "RequestHandler::handleRequest" /path/to/cpp-http-server/source_codedisclosure
漏洞利用状态
EPSS
0.03% (10% 百分位)
CISA SSVC
CVSS 向量
为了缓解此漏洞,建议立即升级到 C++ HTTP Server 1.0.1 版本。如果无法立即升级,可以考虑使用 Web 应用防火墙 (WAF) 或反向代理来过滤恶意请求,阻止包含 '../' 序列的请求。此外,还可以限制应用程序对文件系统的访问权限,只允许访问必要的文件和目录。 升级后,请验证文件访问权限是否已正确配置,并测试应用程序的功能是否正常。
No hay parche disponible. Se recomienda no utilizar la versión vulnerable del servidor HTTP C++ o implementar una solución de mitigación que valide y sanee las rutas de los archivos solicitados para evitar el recorrido de directorios. Considere utilizar un servidor HTTP más robusto y mantenido.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-24469 是 C++ HTTP Server 1.0 及更早版本中发现的一个路径遍历漏洞,允许攻击者读取服务器文件系统中的任意文件。
如果您正在使用 C++ HTTP Server 1.0 或更早版本,则您可能受到此漏洞的影响。请立即升级到 1.0.1 版本。
建议升级到 C++ HTTP Server 1.0.1 版本。如果无法升级,请使用 WAF 或限制文件系统访问权限。
目前尚无公开的利用程序,但由于漏洞的严重性,预计未来可能会出现。
由于 C++ HTTP Server 是一个较小的项目,可能没有官方公告。请关注安全社区的动态。