Популярная открытая библиотека cpp-httplib, предназначенная для работы с HTTP-протоколом в приложениях на C++, оказалась в центре внимания специалистов по кибербезопасности. В её компоненте parse_header() обнаружена опасная ошибка, которая позволяет злоумышленнику удалённо атаковать системы под управлением операционных систем семейства Debian. Уязвимость уже получила официальный идентификатор CVE-2026-45372 и внесена в Банк данных угроз безопасности информации (BDU) под номером BDU:2026-07650. Производитель подтвердил проблему и выпустил исправление. Однако на момент публикации новости в открытом доступе уже существует программа для эксплуатации, что существенно повышает риски для незащищённых систем.
Детали уязвимости
Затрагивает ли эта угроза ваш сервер? Прежде всего под удар попадают системы на Debian GNU/Linux версий 12 и 13, а также любое программное обеспечение, которое использует версию библиотеки cpp-httplib ниже 0.44.0. Библиотека широко применяется в веб-приложениях, облачных сервисах, API-шлюзах и системах мониторинга. Поэтому круг потенциально уязвимых объектов очень широк: от корпоративных порталов до промышленных контроллеров, работающих под управлением Debian.
В чём суть проблемы? Уязвимость включает в себя сразу два класса ошибок. Первый - это непринятие мер по нейтрализации последовательностей CRLF. Данный дефект позволяет внедрить в HTTP-запрос управляющие символы, что открывает дорогу для так называемой HTTP-контрабанды. Второй класс ошибок - непоследовательная интерпретация HTTP-запросов. Когда сервер и клиент или прокси-сервер по-разному разбирают границы запросов, злоумышленник может подменить один запрос вместо другого.
Проще говоря, атакующий способен отправить специально сформированный запрос, который сервер библиотеки cpp-httplib воспримет искажённо. В результате нарушитель может получить доступ к закрытым данным, подменить ответы, нарушить целостность передаваемой информации или даже вызвать отказ в обслуживании. Оценка по шкале CVSS версии 3.1 составила 9,9 балла (критический уровень опасности). Это означает, что для атаки не требуется никаких дополнительных привилегий или взаимодействия с пользователем - достаточно, чтобы целевой сервер был доступен по сети.
Каким образом происходит эксплуатация? В описании уязвимости указано два способа воздействия: инъекция и подмена при взаимодействии. Инъекция подразумевает внедрение вредоносных данных в разбор HTTP-заголовков. Подмена позволяет злоумышленнику выдавать себя за другой сервис или предоставить клиенту ложные ответы. Поскольку эксплойт уже опубликован, даже начинающий нарушитель может автоматизировать атаку. Для бизнеса это означает реальную угрозу компрометации внутренних систем, утечки конфиденциальных данных и финансовых потерь.
Особенно тревожным является тот факт, что уязвимость затрагивает обе последние стабильные версии Debian - 12 (Bookworm) и 13 (Trixie). Множество серверных решений, включая корпоративные почтовые системы, веб-интерфейсы, панели управления, базы данных и средства мониторинга, могут использовать cpp-httplib в качестве основы для HTTP-взаимодействия. Кроме того, библиотека может быть встроена в сторонние приложения, которые не обновляются автоматически при обновлении дистрибутива. Администраторам необходимо самостоятельно проверить список установленного программного обеспечения.
Хорошая новость: производитель уже устранил проблему. В репозитории проекта cpp-httplib на GitHub опубликован соответствующий бюллетень безопасности с подробными инструкциями. Для Debian выпущено обновление через официальный Security Tracker. Чтобы защитить системы, достаточно обновить библиотеку cpp-httplib до версии 0.44.0 или выше. Если вы используете Debian, проверьте доступные обновления с помощью стандартных средств управления пакетами и установите последние версии пакетов, содержащих cpp-httplib.
Тем не менее одной установкой патча дело не ограничивается. Рекомендуется пересмотреть архитектуру сетевого доступа: ограничить круг IP-адресов, с которых разрешены HTTP-запросы к уязвимым сервисам. В идеале - разместить перед сервером промежуточный прокси-сервер или межсетевой экран уровня приложений (WAF), который сможет фильтровать аномальные запросы. Также стоит включить подробное журналирование HTTP-трафика, чтобы при необходимости можно было выявить попытки атак. Учитывая наличие публичного эксплойта, откладывать исправление не стоит.
Подводя итог, можно сказать, что обнаруженная уязвимость в cpp-httplib - серьёзный инцидент, затрагивающий инфраструктуру на Debian. Высокая оценка опасности и доступность инструментов атаки делают её первоочередной задачей для администраторов. Каждому, кто использует Debian в своей работе или предоставляет услуги на его основе, следует немедленно обновить библиотеку cpp-httplib до безопасной версии. Игнорирование этой угрозы может привести к полной компрометации сервера. Своевременное применение патча - единственный способ гарантировать конфиденциальность, целостность и доступность защищаемой информации.
Ссылки
- https://bdu.fstec.ru/vul/2026-07650
- https://www.cve.org/CVERecord?id=CVE-2026-45372
- https://github.com/yhirose/cpp-httplib/security/advisories/GHSA-xjxg-64p4-vj4m
- https://security-tracker.debian.org/tracker/CVE-2026-45372
