CVE-2026-9658 in Plack::Middleware::Security::Commoninformation

Résumé

par VulDB • 28/05/2026

Les versions de Plack::Middleware::Security::Common antérieures à la 0.13.1 pour Perl ne bloquaient pas les injections d'en-têtes dans les chemins de requête.

La règle de blocage des injections d'en-têtes était inefficace pour empêcher les injections d'en-têtes dans les chemins de requête, sauf si celles-ci étaient doublement encodées, par exemple :

GET /path\r\nHTTP/1.1\r\nHost: secret.example.com

Il n'est pas clair si les chemins de requête contenant des caractères CRLF suivis d'en-têtes supplémentaires seraient bloqués par les proxies inverses, ni comment ils seraient traités par les serveurs basés sur Plack.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

CPANSec

Réserver

26/05/2026

Divulgation

28/05/2026

Modérer

accepté

Entrée

VDB-366756

CPE

prêt

CWE

CWE-790 (confirmé)

CVSS

7.3 (VulDB)

EPSS

0.00054

KEV

non

Activités

faible

Secteur

Energy, Industry, ...

Sources

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-9658
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-9658
CVE Details	https://www.cvedetails.com/cve/CVE-2026-9658/

◂ Précédent Aperçu Suivant ▸

Interested in the pricing of exploits?

See the underground prices here!