CVE-2026-43969 in cowlibinformação

Sumário

de VulDB • 27/05/2026

Vulnerabilidade de Neutralização Imprópria de Sequências CRLF ('Injeção CRLF') na biblioteca ninenines cowlib permite a divisão de solicitações HTTP e o contrabando de cookies através de campos de nome e valor de cookie não validados.

A função `cow_cookie:cookie/1` na cowlib constrói um cabeçalho de solicitação `Cookie:` do lado do cliente a partir de uma lista de pares nome-valor, sem validar nenhum dos campos. Um atacante que controle os nomes ou valores dos cookies passados para esta função pode injetar caracteres `;`, `,`, CR, LF ou TAB no cabeçalho serializado. Isso permite duas classes de ataque: contrabando de cookies dentro de um único cabeçalho (por exemplo, injetando `"; admin=1"` para introduzir um cookie fantasma que o servidor receptor trata como autêntico) e divisão de cabeçalhos de solicitação HTTP (injete CRLF para anexar cabeçalhos arbitrários ou contrabandear uma segunda solicitação completa contra um proxy upstream compartilhado). O lado do decodificador (`parse_cookie_name/1`, `parse_cookie_value/1`) e `setcookie/3` já validam e rejeitam esses caracteres; apenas o codificador não possui a verificação.

Este problema afeta a cowlib a partir da versão 2.9.0.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

EEF

Reservar

04/05/2026

Divulgação

11/05/2026

Moderação

aceite

Entrada

VDB-362757

CPE

pronto

EPSS

0.00022

KEV

não

Atividades

muito baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-43969
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-43969
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-43969/

VoltarVisão GeralPróximo

Interested in the pricing of exploits?

See the underground prices here!