CVE-2026-28435

cpp-httplib is a C++11 single-file header-only cross platform HTTP/HTTPS library. Prior to 0.35.0, cpp-httplib (httplib.h) does not enforce Server::set_payload_max_length() on the decompressed request body when using HandlerWithContentReader (streaming ContentReader) with Content-Encoding: gzip (or other supported encodings). A small compressed payload can expand beyond the configured payload limit and be processed by the application, enabling a payload size limit bypass and potential denial of service (CPU/memory exhaustion). This vulnerability is fixed in 0.35.0.

cpp-httplib is a C++11 single-file header-only cross platform HTTP/HTTPS library. Prior to 0.35.0, cpp-httplib (httplib.h) does not enforce Server::set_payload_max_length() on the decompressed request body when using HandlerWithContentReader (streaming ContentReader) with Content-Encoding: gzip (or other supported encodings). A small compressed payload can expand beyond the configured payload limit and be processed by the application, enabling a payload size limit bypass and potential denial of service (CPU/memory exhaustion). This vulnerability is fixed in 0.35.0.

cpp-httplib es una librería HTTP/HTTPS multiplataforma de un solo archivo de cabecera C++11. Antes de la versión 0.35.0, cpp-httplib (httplib.h) no aplica Server::set_payload_max_length() en el cuerpo de la solicitud descomprimido al usar HandlerWithContentReader (ContentReader de transmisión) con Content-Encoding: gzip (u otras codificaciones compatibles). Una pequeña carga útil comprimida puede expandirse más allá del límite de carga útil configurado y ser procesada por la aplicación, lo que permite una omisión del límite de tamaño de la carga útil y una potencial denegación de servicio (agotamiento de CPU/memoria). Esta vulnerabilidad está corregida en la versión 0.35.0.