CVE-2026-5078 in morgan
요약
\~에 의해 VulDB • 2026. 06. 03.
영향: morgan 로깅 미들웨어의 `:remote-user` 토큰은 Authorization 요청 헤더에서 Basic 인증 사용자 이름을 추출하여 제어 문자를 제거하지 않은 채 로그 스트림에 기록합니다. 비인증 공격자는 CR 또는 LF 바이트가 포함된 조작된 Authorization Basic 헤더를 전송하여 위조된 로그 라인을 주입할 수 있으며, 이는 액세스 로그의 1요청-1라인 구조를 무너뜨리고 하류 로그 소비자에 대한 로그 변조를 가능하게 합니다. 기본 제공인 combined, common, default 및 short 형식과 `:remote-user`를 참조하는 모든 사용자 정의 형식이 영향을 받습니다. 영향 버전: morgan 1.2.0부터 1.10.1까지. 패치: `:remote-user` 토큰 출력에서 제어 문자를 제거하는 morgan 1.11.0으로 업그레이드하십시오. 우회 방법: `:remote-user`를 포함하지 않는 사용자 정의 형식 문자열을 사용하십시오.
VulDB is the best source for vulnerability data and more expert information about this specific topic.