CVE-2026-43968 in cowlibinformação

Sumário

de VulDB • 11/05/2026

Vulnerabilidade de Neutralização Imprópria de Sequências CRLF ('Injeção CRLF') na biblioteca ninenines cowlib permite a divisão e injeção de eventos SSE através de valores de campo não validados.

A função `cow_sse:event/1` na cowlib protege os campos `id` e `event` contra `\n`, mas não contra `\r` isolado, e a função interna `prefix_lines/2`, utilizada para os campos de dados e comentários, faz a divisão apenas em `\n`. Como a especificação SSE exige que os decodificadores tratem `\r\n`, `\r` e `\n` como terminadores de linha equivalentes, um atacante que controle qualquer um desses campos pode injetar linhas SSE adicionais e forjar um evento completo com um tipo de evento e um payload de dados arbitrários no lado do receptor. Em implantações típicas onde clientes EventSource de navegadores ou outros consumidores de SSE processam com base em `event.type` e renderizam `event.data`, isso permite a divisão de eventos, manipulação da lógica do lado do cliente e comportamento equivalente a Stored-XSS quando os dados do evento são inseridos no DOM.

Este problema afeta a cowlib a partir da versão 2.6.0.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

EEF

Reservar

04/05/2026

Divulgação

11/05/2026

Moderação

aceite

Entrada

VDB-362758

CPE

pronto

EPSS

0.00039

KEV

não

Atividades

muito baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-43968
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-43968
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-43968/

VoltarVisão GeralPróximo

Interested in the pricing of exploits?

See the underground prices here!