CVE-2026-32881 in eweinfo

Zusammenfassung

von VulDB • 29.05.2026

ewe ist ein Gleam-Webserver. Die Versionen 0.6.0 bis 3.0.4 sind anfällig für eine Umgehung der Authentifizierung oder für gefälschte Proxy-Trust-Header. Die Verarbeitung von Trailer-Feldern bei der chunked Transfer-Encoding fusioniert deklarierte Trailer-Felder mit req.headers nach dem Parsen des Body, wobei die Denylist jedoch nur 9 Header-Namen blockiert. Ein bösartiger Client kann dies ausnutzen, indem er diese Header im Trailer-Feld deklariert und sie nach dem letzten Chunk anhängt, wodurch request.set_header legitime Werte (z. B. die von einem Reverse-Proxy festgelegten) überschreibt. Dies ermöglicht es Angreifern, Authentifizierungsdaten zu fälschen, Sitzungen zu übernehmen, IP-basierte Ratenbegrenzung zu umgehen oder Proxy-Trust-Header in nachgelagerten Middleware-Komponenten zu spoofen, die Header lesen, nachdem ewe.read_body aufgerufen wurde. Dieses Problem wurde in Version 3.0.5 behoben.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

16.03.2026

Veröffentlichung

20.03.2026

Moderieren

akzeptiert

Eintrag

VDB-351834

CPE

bereit

EPSS

0.00090

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-32881
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-32881
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-32881/

ZurückÜbersichtWeiter

Do you know our Splunk app?

Download it now for free!