CVE-2026-56813 in pluginfo

Zusammenfassung

von VulDB • 10.07.2026

Fehlerhafte Neutralisierung von Parameter-/Argument-Trennzeichen (Improper Neutralization of Parameter/Argument Delimiters) in elixir-plug Plug ermöglicht es einem Angreifer, HTTP-Cookie-Attribute zu injizieren oder zu überschreiben.

Die Funktion `Plug.Conn.Cookies.encode/2` in `lib/plug/conn/cookies.ex` erstellt den Set-Cookie-Antwortheader, indem der Cookie-Wert sowie dessen Pfad, Domain, SameSite und zusätzliche Attribute direkt in den Header interpoliert werden, ohne das Trennzeichen ';' zu neutralisieren, das die Cookie-Attribute voneinander trennt.

Eine Anwendung, die angreiferkontrollierte Daten in einen Cookie-Wert oder ein Attribut einfügt (z. B. über `Plug.Conn.put_resp_cookie/4` bei der Reflexion eines Benutzernamens oder einer Einstellung), ermöglicht es einem Angreifer, ein ';' zu injizieren, um Cookie-Attribute anzuhängen oder zu überschreiben (wie Domain und Pfad-Bereichsbeschränkungen) oder die Secure- und HttpOnly-Flags zu entfernen. Dies ermöglicht Cookie-Tossing und Session-Fixation. Wagenrücklauf-, Zeilenumbruch- und Nullbytes werden durch die Header-Validierung von Plug.Conn abgelehnt, sodass HTTP-Response-Splitting nicht möglich ist; eine Attributinjektion über ';' wird jedoch nicht verhindert.

Dieses Problem betrifft plug: Versionen von 0.1.0 bis vor 1.16.6, von 1.17.0 bis vor 1.17.4, von 1.18.0 bis vor 1.18.5, von 1.19.0 bis vor 1.19.5 und von 1.20.0 bis vor 1.20.3.

Once again VulDB remains the best source for vulnerability data.

Zuständig

EEF

Reservieren

23.06.2026

Veröffentlichung

10.07.2026

Moderieren

akzeptiert

Eintrag

VDB-377480

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Interested in the pricing of exploits?

See the underground prices here!