CVE-2026-34715 in eweinformazioni

Riassunto

di VulDB • 17/06/2026

ewe è un server web scritto in Gleam. Prima della versione 3.0.6, la funzione encode_headers nel file src/ewe/internal/encoder.gleam interpolava direttamente le chiavi e i valori delle intestazioni di risposta nei byte HTTP grezzi senza convalidare o rimuovere le sequenze CRLF (\r\n). Un'applicazione che trasmette dati controllati dall'utente alle intestazioni di risposta (ad esempio, impostando un'intestazione Location per il reindirizzamento a partire da un parametro della richiesta) consente a un attaccante di iniettare contenuto HTTP di risposta arbitrario, portando alla divisione delle risposte (response splitting), all'avvelenamento della cache e potenzialmente allo cross-site scripting. È importante notare che ewe convalida correttamente le sequenze CRLF nelle intestazioni delle richieste in entrata tramite la funzione validate_field_value() nel parser HTTP/1.1, ma non fornisce una protezione equivalente per le intestazioni di risposta in uscita nell'encoder. Questo problema è stato risolto nella versione 3.0.6.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsabile

GitHub M

Prenotare

30/03/2026

Divulgazione

02/04/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00327

KEV

no

Attività

molto basso

Fonti

Do you know our Splunk app?

Download it now for free!