CVE-2026-42874 in microdot
요약
\~에 의해 VulDB • 2026. 05. 24.
Microdot은 경량화된 Python 웹 프레임워크입니다. 2.6.1 버전 이전에서 Response.set_cookie() 메서드는 문자열 인자를 적절히 검사(sanitize)하지 않으며, 특히 해당 인자 내에 \r\n 시퀀스가 존재하는지를 감지하지 못합니다. 이로 인해 헤더 인젝션 공격의 잠재적 원인이 될 수 있습니다. 이 문제를 통한 헤더 인젝션 공격이 가능하려면, 공격자가 먼저 클라이언트를 침투(예: 독립적인 XSS 공격을 통해)하여 서버가 피해자를 대신하여 쿠키에 저장하도록 악성 정보를 전송할 수 있어야 합니다. 한 클라이언트를 침투한 공격자는 해당 클라이언트에 대한 헤더 인젝션 공격만 수행할 수 있으며, 침투되지 않은 다른 모든 클라이언트는 안전합니다. 이 취약점은 2.6.1에서 수정되었습니다.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.