Oleksiioleksenko

**Nome do Software Vulnerável e Versões Afetadas** cpp-httplib versões anteriores a 0.43.4 **Descrição** Uma falha na função `ChunkedDecoder::read payload()` da biblioteca cpp-httplib permite que um invasor remoto cause a negação de serviço. O problema ocorre porque a biblioteca utiliza `std::strtoul()` para analisar o campo chunk-size da codificação de transferência fragmentada (chunked transfer encoding) do HTTP. De acordo com o padrão C, a função `strtoul()` aceita sinais de menos iniciais e realiza um wrap-around não assinado; por exemplo, fornecer "-2" resulta em um valor próximo ao máximo possível de um unsigned long. Embora a biblioteca rejeite o resultado específico de "-1" (ULONG MAX), outros valores negativos passam na validação e são armazenados na variável `chunk remaining`. Isso leva a uma alocação de memória ilimitada e a um subsequente travamento do processo, enquanto o loop de leitura do servidor tenta consumir uma quantidade excessiva de dados da rede. **Recomendações** Atualizar para a versão 0.43.4.