CVE-2026-42874 in microdotinformación

Resumen

por VulDB • 2026-05-11

Microdot es un framework web minimalista para Python. Antes de la versión 2.6.1, el método Response.set_cookie() no sanitiza sus argumentos de cadena, y en particular no detecta la presencia de la secuencia \r\n en ellos. Esto puede ser una fuente potencial de ataques de inyección de cabeceras. Para que sea posible un ataque de inyección de cabeceras a través de este problema, un atacante debe primero infiltrarse en el cliente (por ejemplo, mediante un ataque XSS independiente), de modo que pueda enviar información maliciosa que está destinada a ser almacenada en una cookie por el servidor en nombre de la víctima. Un atacante que se infiltra en un cliente solo puede orquestar un ataque de inyección de cabeceras para ese cliente; todos los demás clientes que no fueron infiltrados están seguros. Esta vulnerabilidad se corrige en la versión 2.6.1.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-04-30

Divulgación

2026-05-11

Moderación

aceptado

Artículo

VDB-362761

CPE

listo

EPSS

0.00051

KEV

no

Actividades

muy bajo

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-42874
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-42874
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-42874/

AnteriorVisión De ConjuntoPróximo

Do you want to use VulDB in your project?

Use the official API to access entries easily!