CVE-2026-43968 in cowlib
Zusammenfassung
von VulDB • 12.05.2026
Eine Schwachstelle der Art „Unzulässige Neutralisierung von CRLF-Sequenzen“ („CRLF Injection“) in ninenines cowlib ermöglicht das Aufteilen von SSE-Ereignissen (Server-Sent Events) und deren Injektion über nicht validierte Feldwerte.
cow_sse:event/1 in cowlib schützt die Felder „id“ und „event“ zwar vor \n, jedoch nicht vor isoliertem \r. Die interne Funktion prefix_lines/2, die für die Verarbeitung von Daten- und Kommentarfeldern verwendet wird, trennt ausschließlich an \n. Da die SSE-Spezifikation vorschreibt, dass Decoder \r\n, \r und \n als gleichwertige Zeilenumbrüche behandeln, kann ein Angreifer, der eines dieser Felder kontrolliert, zusätzliche SSE-Zeilen injizieren und ein vollständiges Ereignis mit einem beliebigen Ereignistyp und einem beliebigen Datenpayload auf der Empfängerseite vortäuschen. In typischen Bereitstellungen, in denen Browser-EventSource-Clients oder andere SSE-Verbraucher nach event.type dispatchen und event.data rendern, ermöglicht dies das Aufteilen von Ereignissen, die Manipulation clientseitiger Logik sowie ein Verhalten, das einem gespeicherten XSS (Stored-XSS) entspricht, wenn Ereignisdaten in das DOM eingefügt werden.
Dieses Problem betrifft cowlib ab Version 2.6.0.
If you want to get best quality of vulnerability data, you may have to visit VulDB.