cpp-httplib CVE-2024-48327: Malicious X-Forwarded-For Triggers Undefined Behavior and Crash

漏洞概述 漏洞名称: cpp-httplib: Malicious Under Trusted-Proxy Configuration Triggers Empty , Leading to Undefined Behavior and Server Crash CVE ID: CVE-2024-48327 描述: 当服务器配置了可信代理列表，并且请求中包含 头时，服务器会尝试从该头中解析客户端IP。如果解析后的IP列表为空，调用 会导致未定义行为，进而引发服务器崩溃。 影响范围 受影响版本: <0.44.0 修复版本: 0.44.0 严重性: 高 攻击复杂度: 低（攻击者只需到达HTTP服务并提供语法上可接受的 字段） 机密性影响: 无（主要影响可用性和稳定性） 可用性影响: 高（可能导致服务器异常终止或进入不可用状态） 影响范围: 仅在使用 配置且非空列表的部署中受影响 修复方案 1. 核心修复: 在 函数中，检查解析后的IP列表是否为空，避免调用 。 2. 具体实现: - 在返回 之前，检查 是否为空。 - 如果为空，返回空字符串或记录日志，避免未定义行为。 POC代码 利用步骤 1. 启动上述POC服务器（必须调用 ）。 2. 发送带有恶意 头的请求（例如，逗号分隔的空值）。 3. 服务器可能会崩溃或返回空响应。 示例请求 预期行为 无Sanitizer: 服务器可能崩溃或返回空响应。 有Sanitizer: 服务器可能报告未定义行为错误。 修复建议 在 函数中，检查解析后的IP列表是否为空，避免调用 。 如果为空，返回空字符串或记录日志，避免未定义行为。 参考链接 GitHub Advisory --- 此总结涵盖了漏洞的关键信息，包括概述、影响范围、修复方案以及POC代码。

目標達成すべての支援者に感謝 — 100%達成しました！

cpp-httplib CVE-2024-48327: Malicious X-Forwarded-For Triggers Undefined Behavior and Crash

このソースからの他の記事

目標達成 すべての支援者に感謝 — 100%達成しました！

cpp-httplib CVE-2024-48327: Malicious X-Forwarded-For Triggers Undefined Behavior and Crash

このソースからの他の記事

目標達成すべての支援者に感謝 — 100%達成しました！