Vulnerabilidad en cpp-httplib de yhirose (CVE-2026-28435)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-400 Consumo de recursos no controlado (Agotamiento de recursos)

Fecha de publicación:

04/03/2026

Última modificación:

05/03/2026

Descripción

cpp-httplib es una librería HTTP/HTTPS multiplataforma de un solo archivo de cabecera C++11. Antes de la versión 0.35.0, cpp-httplib (httplib.h) no aplica Server::set_payload_max_length() en el cuerpo de la solicitud descomprimido al usar HandlerWithContentReader (ContentReader de transmisión) con Content-Encoding: gzip (u otras codificaciones compatibles). Una pequeña carga útil comprimida puede expandirse más allá del límite de carga útil configurado y ser procesada por la aplicación, lo que permite una omisión del límite de tamaño de la carga útil y una potencial denegación de servicio (agotamiento de CPU/memoria). Esta vulnerabilidad está corregida en la versión 0.35.0.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto