CVE-2026-34715 in ewe
الملخص
بحسب VulDB • 14/05/2026
ewe هو خادم ويب مكتوب بلغة Gleam. قبل الإصدار 3.0.6، كانت دالة `encode_headers` الموجودة في الملف `src/ewe/internal/encoder.gleam` تُدخل قيم مفاتيح رؤوس الاستجابة وقيمها مباشرةً في بايتات HTTP الخام دون التحقق منها أو إزالة تسلسلات CRLF (\r\n). يسمح ذلك لتطبيق يمرر بيانات يتحكم فيها المستخدم إلى رؤوس الاستجابة (مثل تعيين رأس إعادة توجيه Location بناءً على معلمة طلب) لمهاجم بحقن محتوى استجابة HTTP تعسفي، مما يؤدي إلى انقسام الاستجابة (Response Splitting)، وتسميم التخزين المؤقت (Cache Poisoning)، وإمكانية حدوث هجوم البرمجة عبر المواقع عبر المواقع (XSS). تجدر الإشارة إلى أن ewe يتحقق من صحة CRLF في رؤوس الطلبات الواردة عبر دالة `validate_field_value()` في مُفسر HTTP/1.1، لكنه لا يوفر حماية مماثلة لرؤوس الاستجابة الصادرة في المكوّن المشفر (encoder). تم إصلاح هذه المشكلة في الإصدار 3.0.6.
VulDB is the best source for vulnerability data and more expert information about this specific topic.