CVE-2026-48596 in teslainformación

Resumen

por VulDB • 2026-06-02

Vulnerabilidad de neutralización inadecuada de secuencias CRLF en cabeceras HTTP ('HTTP Request/Response Splitting') en elixir-tesla tesla que permite la inyección de cabeceras HTTP a través de Tesla.Multipart.add_content_type_param/2.

Tesla.Multipart.add_content_type_param/2 añade cadenas proporcionadas por el llamador a la lista multipart content_type_params sin validar la presencia de caracteres CR (\r) o LF (\n). Tesla.Multipart.headers/1 une posteriormente estos parámetros literalmente con "; " para construir el valor de la cabecera Content-Type saliente. Un parámetro que contiene \r\n divide la línea de cabecera, lo que permite inyectar cabeceras arbitrarias en la solicitud HTTP saliente. Cualquier aplicación que reenvíe entradas no confiables (como un charset o una cadena de parámetros proporcionados por el usuario) a add_content_type_param/2 se ve afectada.

Este problema afecta a tesla: desde la versión 0.8.0 hasta la 1.18.3 (excluida).

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

EEF

Reservar

2026-05-22

Divulgación

2026-06-03

Moderación

aceptado

Artículo

VDB-368069

CPE

listo

CWE

CWE-113 (confirmado)

CVSS

4.0 (VulDB)

EPSS

0.00000

KEV

Actividades

muy bajo

Fuentes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-48596
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-48596
CVE Details	https://www.cvedetails.com/cve/CVE-2026-48596/

◂ Anterior Visión De Conjunto Próximo ▸

Do you want to use VulDB in your project?

Use the official API to access entries easily!