CVE-2026-45352

Nome do Software Vulnerável e Versões Afetadas cpp-httplib versões anteriores a 0.43.4

Descrição Uma falha na função ChunkedDecoder::read payload() da biblioteca cpp-httplib permite que um invasor remoto cause a negação de serviço. O problema ocorre porque a biblioteca utiliza std::strtoul() para analisar o campo chunk-size da codificação de transferência fragmentada (chunked transfer encoding) do HTTP. De acordo com o padrão C, a função strtoul() aceita sinais de menos iniciais e realiza um wrap-around não assinado; por exemplo, fornecer "-2" resulta em um valor próximo ao máximo possível de um unsigned long. Embora a biblioteca rejeite o resultado específico de "-1" (ULONG MAX), outros valores negativos passam na validação e são armazenados na variável chunk remaining. Isso leva a uma alocação de memória ilimitada e a um subsequente travamento do processo, enquanto o loop de leitura do servidor tenta consumir uma quantidade excessiva de dados da rede.

Recomendações Atualizar para a versão 0.43.4.