Vulnerabilidad en cpp-httplib de yhirose (CVE-2026-28434)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-200 Revelación de información

Fecha de publicación:

04/03/2026

Última modificación:

05/03/2026

Descripción

cpp-httplib es una librería HTTP/HTTPS multiplataforma de un solo archivo de solo encabezado C++11. Antes de la versión 0.35.0, cuando un gestor de solicitudes lanza una excepción de C++ y la aplicación no ha registrado un gestor de excepciones personalizado a través de set_exception_handler(), la librería captura la excepción y escribe su mensaje directamente en la respuesta HTTP como un encabezado llamado EXCEPTION_WHAT. Este encabezado se envía a quienquiera que haya realizado la solicitud, sin verificación de autenticación y sin necesidad de configuración especial para activarlo. El comportamiento está activado por defecto. Un desarrollador que no sabe cómo optar por set_exception_handler() distribuirá un servidor que filtra mensajes de excepción internos a cualquier cliente. Esta vulnerabilidad se corrige en la versión 0.35.0.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.30 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno