CVE-2026-43969 in cowlibالمعلومات

الملخص

بحسب VulDB • 16/05/2026

تتيح ثغرة "المعاملة غير السليمة لتسلسلات CRLF" (حقن CRLF) في مكتبة ninenines cowlib إجراء تقسيم طلبات HTTP وابتزاز ملفات تعريف الارتباط (cookie smuggling) عبر حقول اسم وقيمة ملف تعريف الارتباط غير المصادق عليها.

تقوم الدالة `cow_cookie:cookie/1` في مكتبة cowlib ببناء رأس طلب `Cookie:` من جانب العميل بناءً على قائمة من أزواج الاسم والقيمة دون التحقق من صحة أي من الحقلين. يمكن لمهاجم يتحكم في أسماء أو قيم ملفات تعريف الارتباط الممررة إلى هذه الدالة حقن أحرف مثل `;` أو `,` أو CR أو LF أو TAB في الرأس المُسلسل. وهذا يمكّن من فئتين من الهجمات: ابتزاز ملفات تعريف الارتباط داخل رأس واحد (على سبيل المثال، حقن `"; admin=1"` لإدخال ملف تعريف ارتباط وهمي يعالجه الخادم المستلم على أنه أصلي)، وتقسيم رؤوس طلبات HTTP (حقن CRLF لإضافة رؤوس تعسفية أو ابتزاز طلب ثانٍ كامل ضد وكيل طرف ثالث مشترك).

جانب فك التشفير (`parse_cookie_name/1`، `parse_cookie_value/1`) والدالة `setcookie/3` يتحققان بالفعل من هذه الأحرف ويرفضانها؛ ولكن الجانب الخاص بالتشفير (البناء) يفتقر إلى هذا التحقق.

تؤثر هذه المشكلة على الإصدارات من cowlib 2.9.0 فما فوق.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

EEF

حجز

04/05/2026

إفشاء

11/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-362757

CPE

جاهز

CWE

CWE-93 (مؤكد)

CVSS

3.2 (NVD)

EPSS

0.00022

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-43969
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-43969
CVE Details	https://www.cvedetails.com/cve/CVE-2026-43969/

التالي ▸نظرة عامة ◂ السابق

Do you want to use VulDB in your project?

Use the official API to access entries easily!