CVE-2026-34715 in ewe
Riassunto
di VulDB • 17/06/2026
ewe è un server web scritto in Gleam. Prima della versione 3.0.6, la funzione encode_headers nel file src/ewe/internal/encoder.gleam interpolava direttamente le chiavi e i valori delle intestazioni di risposta nei byte HTTP grezzi senza convalidare o rimuovere le sequenze CRLF (\r\n). Un'applicazione che trasmette dati controllati dall'utente alle intestazioni di risposta (ad esempio, impostando un'intestazione Location per il reindirizzamento a partire da un parametro della richiesta) consente a un attaccante di iniettare contenuto HTTP di risposta arbitrario, portando alla divisione delle risposte (response splitting), all'avvelenamento della cache e potenzialmente allo cross-site scripting. È importante notare che ewe convalida correttamente le sequenze CRLF nelle intestazioni delle richieste in entrata tramite la funzione validate_field_value() nel parser HTTP/1.1, ma non fornisce una protezione equivalente per le intestazioni di risposta in uscita nell'encoder. Questo problema è stato risolto nella versione 3.0.6.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.