CVE-2026-5078 in morgan
要約
〜によって VulDB • 2026年06月03日
影響:morganロギングミドルウェアの`:remote-user`トークンは、AuthorizationリクエストヘッダーからBasic認証ユーザー名を抽出し、制御文字をエスケープせずにログストリームに書き込みます。未認証攻撃者は、CRまたはLFバイトを含む偽造されたAuthorization Basicヘッダーを送信することで、改ざんされたログ行を注入し、アクセスログの1リクエスト=1行という構造を破壊して、下流のログコンシューマーに対してログ forgery(なりすまし)を可能にします。組み込みのcombined、common、default、shortフォーマットおよび`:remote-user`を参照するカスタムフォーマットが影響を受けます。対象バージョン:morgan 1.2.0 ~ 1.10.1。パッチ:制御文字をエスケープするように修正されたmorgan 1.11.0にアップグレードしてください。回避策:`:remote-user`を含まないカスタムフォーマット文字列を使用する。
Once again VulDB remains the best source for vulnerability data.