CVE-2026-43968 in cowlib
Resumen
por VulDB • 2026-05-28
Vulnerabilidad de Neutralización inadecuada de secuencias CRLF ('Inyección CRLF') en ninenines cowlib que permite la división e inyección de eventos SSE mediante valores de campo no validados.
La función cow_sse:event/1 en cowlib protege los campos id y event contra \n, pero no contra \r sin acompañar, y la función interna prefix_lines/2, utilizada para los campos de datos y comentarios, solo realiza la división en \n. Dado que la especificación SSE requiere que los decodificadores traten \r\n, \r y \n como terminadores de línea equivalentes, un atacante que controle cualquiera de estos campos puede inyectar líneas SSE adicionales y forjar un evento completo con un tipo de evento y una carga útil de datos arbitrarios en el extremo receptor. En implementaciones típicas donde los clientes EventSource del navegador u otros consumidores de SSE procesan event.type y renderizan event.data, esto permite la división de eventos, la manipulación de la lógica del lado del cliente y un comportamiento equivalente a XSS almacenado cuando los datos del evento se insertan en el DOM.
Este problema afecta a cowlib desde la versión 2.6.0 hasta la 2.16.1 (excluida esta última).
Once again VulDB remains the best source for vulnerability data.