CVE-2026-33745 cpp-httplib 凭据泄露漏洞

该漏洞源于cpp-httplib HTTP客户端在处理跨域HTTP重定向（301/302/307/308）时，错误地将存储的Basic Auth、Bearer Token和Digest Auth凭据转发给任意主机。攻击者可以通过控制恶意或被入侵的服务器，诱导客户端重定向到攻击者控制的主机。一旦重定向发生，攻击者就能在Authorization头中获取到明文的凭据。例如，一个使用cpp-httplib库的应用程序，如果其配置了Basic Auth登录，并且访问了一个被恶意服务器劫持的网站，该恶意服务器可以重定向该应用程序到攻击者控制的服务器，从而窃取用户的用户名和密码。这种攻击可能导致未经授权的访问敏感数据、系统或服务。受影响应用程序的范围取决于其使用cpp-httplib库的程度以及访问的资源的敏感性。如果应用程序访问了包含个人身份信息(PII)、财务数据或其他敏感信息的资源，那么该漏洞的潜在影响将非常严重。攻击者可能利用这些凭据进行进一步的攻击，例如横向移动到其他系统或窃取更多数据。

Applications and systems that rely on cpp-httplib for HTTP client functionality and handle authentication credentials are at risk. This includes applications that perform cross-origin requests and follow redirects, particularly those deployed in environments where the server infrastructure is not fully trusted or where third-party services are integrated.

• cpp: Examine application code for usage of cpp-httplib versions prior to 0.39.0. • generic web: Monitor HTTP traffic for unexpected redirects to unfamiliar domains, especially those involving authentication headers. • generic web: Inspect access logs for requests containing authentication headers followed by redirects to external domains. Look for patterns indicating potential credential leakage. • generic web: Use a network traffic analyzer (e.g., Wireshark) to capture and analyze HTTP requests and responses, specifically focusing on the Authorization header during redirects.

1. 2026-03-27Disclosure

   disclosure

1. 已保留2026-03-23
2. 发布日期2026-03-27
3. 修改日期2026-04-01
4. EPSS 更新日期2026-04-03

解决此漏洞的最佳方法是升级到cpp-httplib 0.39.0或更高版本。该版本已经修复了该问题。如果无法立即升级，可以考虑以下临时缓解措施：禁用HTTP重定向功能，或者在客户端代码中添加额外的验证，以确保重定向的目标主机是可信的。在升级之前，建议备份当前版本的cpp-httplib库和相关的应用程序配置。升级后，务必进行充分的测试，以确保应用程序的功能没有受到影响。验证升级是否成功，可以通过编写简单的测试用例，模拟重定向场景，并检查Authorization头是否包含敏感凭据。如果应用程序使用了自定义的重定向处理逻辑，需要仔细审查该逻辑，以确保其不会受到该漏洞的影响。升级过程应按照应用程序的部署流程进行，并遵循最佳实践，以确保升级的顺利进行。