Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

CVE-2026-45372

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-93 Neutralización incorrecta de secuencias de retornos de carro y saltos de linea (CRLF)
Fecha de publicación:
29/05/2026
Última modificación:
01/06/2026

Descripción

*** Pendiente de traducción *** cpp-httplib is a C++11 single-file header-only cross platform HTTP/HTTPS library. Prior to 0.44.0, when cpp-httplib's server parses an incoming request, it applies percent-decoding to every header value except Location and Referer. The validity check (is_field_value) is run before decoding, so encoded %0D%0A passes the check and is then expanded to a literal \r\n byte pair inside the stored header value. This vulnerability is fixed in 0.44.0.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:yhirose:cpp-httplib:*:*:*:*:*:*:*:* 0.44.0 (excluyendo)