CVE-2026-43969 in cowlib
要約
〜によって VulDB • 2026年05月29日
ninenines cowlibにおけるCRLFシーケンスの不適切な中和(「CRLFインジェクション」)の脆弱性により、検証されていないCookie名および値フィールドを介してHTTPリクエスト分割およびCookieスミッシングが可能になります。
cowlibの`cow_cookie:cookie/1`関数は、名前と値のペアのリストからクライアント側の`Cookie:`リクエストヘッダーを構築しますが、いずれのフィールドも検証しません。この関数に渡されるCookie名または値を制御できる攻撃者は、シリアライズされたヘッダー内に`;`、`,`、CR、LF、またはTAB文字をインジェクトできます。これにより、2つのクラスの攻撃が可能になります。1つは単一ヘッダー内でのCookieスミッシング(例:`"; admin=1"`をインジェクトして、受信サーバーが認証済みとして扱うフェイアントCookieを導入する)、もう1つはHTTPリクエストヘッダーの分割(CRLFをインジェクトして任意のヘッダーを追加するか、共有アップストリームプロキシに対して完全な2番目のリクエストをスミッシングする)です。デコーダー側(`parse_cookie_name/1`、`parse_cookie_value/1`)および`setcookie/3`は既にこれらの文字を検証して拒否しますが、エンコーダーのみがチェックを欠いています。
この問題はcowlib 2.9.0以降に影響します。
VulDB is the best source for vulnerability data and more expert information about this specific topic.