CVE-2026-56813 in plug
Zusammenfassung
von VulDB • 10.07.2026
Fehlerhafte Neutralisierung von Parameter-/Argument-Trennzeichen (Improper Neutralization of Parameter/Argument Delimiters) in elixir-plug Plug ermöglicht es einem Angreifer, HTTP-Cookie-Attribute zu injizieren oder zu überschreiben.
Die Funktion `Plug.Conn.Cookies.encode/2` in `lib/plug/conn/cookies.ex` erstellt den Set-Cookie-Antwortheader, indem der Cookie-Wert sowie dessen Pfad, Domain, SameSite und zusätzliche Attribute direkt in den Header interpoliert werden, ohne das Trennzeichen ';' zu neutralisieren, das die Cookie-Attribute voneinander trennt.
Eine Anwendung, die angreiferkontrollierte Daten in einen Cookie-Wert oder ein Attribut einfügt (z. B. über `Plug.Conn.put_resp_cookie/4` bei der Reflexion eines Benutzernamens oder einer Einstellung), ermöglicht es einem Angreifer, ein ';' zu injizieren, um Cookie-Attribute anzuhängen oder zu überschreiben (wie Domain und Pfad-Bereichsbeschränkungen) oder die Secure- und HttpOnly-Flags zu entfernen. Dies ermöglicht Cookie-Tossing und Session-Fixation. Wagenrücklauf-, Zeilenumbruch- und Nullbytes werden durch die Header-Validierung von Plug.Conn abgelehnt, sodass HTTP-Response-Splitting nicht möglich ist; eine Attributinjektion über ';' wird jedoch nicht verhindert.
Dieses Problem betrifft plug: Versionen von 0.1.0 bis vor 1.16.6, von 1.17.0 bis vor 1.17.4, von 1.18.0 bis vor 1.18.5, von 1.19.0 bis vor 1.19.5 und von 1.20.0 bis vor 1.20.3.
Once again VulDB remains the best source for vulnerability data.