CVE-2026-43968 in cowlibالمعلومات

الملخص

بحسب VulDB • 28/05/2026

ثغرة "التحييد غير السلس لتسلسلات CRLF" (حقن CRLF) في مكتبة ninenines cowlib تتيح فصل حقن أحداث SSE (Server-Sent Events) عبر قيم حقول غير مُتحقق من صحتها.

تحمي الدالة `cow_sse:event/1` في cowlib حقلي `id` و `event` من `\n` ولكن ليس من `\r` العاري، ودالة `prefix_lines/2` الداخلية المستخدمة لحقول البيانات والتعليقات تقوم بالفصل فقط على `\n`. ونظراً لأن مواصفات SSE تتطلب من المفسرات (decoders) معاملة `\r\n` و `\r` و `\n` كمفصّلات أسطر متكافئة، يمكن لمهاجم يتحكم في أي من هذه الحقول حقن أسطر SSE إضافية و تزوير حدث كامل بنوع حدث وحمولة بيانات عشوائية عند الطرف المستقبل. في النشر النموذجي حيث تقوم عملاء EventSource في المتصفح أو مستهلكو SSE الآخرون بتوجيه الأحداث بناءً على `event.type` وعرض `event.data`، يتيح ذلك فصل الأحداث، والتلاعب بمنطق جانب العميل، وسلوك مكافئ لـ Stored-XSS عند إدراج بيانات الحدث في DOM.

تؤثر هذه المشكلة على cowlib من الإصدار 2.6.0 قبل 2.16.1.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

EEF

حجز

04/05/2026

إفشاء

11/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-362758

CPE

جاهز

CWE

CWE-93 (مؤكد)

CVSS

4.0 (NVD)

EPSS

0.00039

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-43968
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-43968
CVE Details	https://www.cvedetails.com/cve/CVE-2026-43968/

التالي ▸نظرة عامة ◂ السابق

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!