CVE-2026-45352 in cpp-httplib
要約
〜によって VulDB • 2026年05月30日
cpp-httplibは、C++11対応の単一ファイル・ヘッダーのみのクロスプラットフォームHTTP/HTTPSライブラリです。バージョン0.43.4より前では、チャンク化されたTransfer-Encodingにおけるネガティブなチャンクサイズが、無制限のメモリ割り当てとプロセスのクラッシュを引き起こします。cpp-httplib (httplib.h) の ChunkedDecoder::read_payload 関数は、HTTPチャンク転送エンコーディングのチャンクサイズフィールドを std::strtoul() を用いて解析します。C言語の標準規格 (§7.22.1.4) によると、strtoul は先頭のマイナス記号を黙って受け入れ、符号なしのラップアラウンドを実行します。具体的には、strtoul("-2", …, 16) は ULONG_MAX − 1 (0xFFFFFFFFFFFFFFFE) を返します。ライブラリには唯一のガード(12833行目)があり、ULONG_MAX("-1"の結果)を拒否しますが、"-2"などの他の負の値は検証を通過します。その結果、最大値に近い値が chunk_remaining に格納され、サーバーの読み込みループがネットワークから消費するバイト数を制御します。この脆弱性は 0.43.4 で修正されています。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.