CVE-2024-45797

LibHTP's unbounded header handling leads to denial service

CVSS 7.5 HIGHEPSS 0.7%CWE-770

Em resumo

LibHTP, uma biblioteca que processa mensagens HTTP, não limita quantos cabeçalhos ela processa. Um atacante pode enviar uma requisição com milhares de cabeçalhos para deixar o servidor muito lento ou sem memória.

Detalhe técnico

LibHTP em versões anteriores a 0.5.49 não valida adequadamente a quantidade e tamanho dos cabeçalhos HTTP, permitindo que atacantes remotos causem consumo excessivo de recursos (CPU e memória) através de cabeçalhos malformados ou muito grandes, resultando em negação de serviço. A falha afeta tanto o processamento de cabeçalhos de requisição quanto de resposta.

Resumo gerado e traduzido por IA a partir da descrição oficial.

LibHTP is a security-aware parser for the HTTP protocol and the related bits and pieces. Prior to version 0.5.49, unbounded processing of HTTP request and response headers can lead to excessive CPU time and memory utilization, possibly leading to extreme slowdowns. This issue is addressed in 0.5.49.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Produtos afetados

OISF · libhtp

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://github.com/OISF/libhtp/security/advisories/GHSA-rqqp-24ch-248f https://lists.debian.org/debian-lts-announce/2025/09/msg00009.html https://redmine.openinfosecfoundation.org/issues/7191