CVE-2026-32881 in ewe信息

摘要

由 VulDB • 2026-05-29

ewe 是一个基于 Gleam 的 Web 服务器。ewe 是一个基于 Gleam 的 Web 服务器。0.6.0 至 3.0.4 版本存在身份验证绕过或伪造代理信任头的问题。分块传输编码（Chunked transfer encoding）的尾部处理会在解析主体后将声明的尾部字段合并到 `req.headers` 中，但黑名单仅阻止了 9 个头部名称。恶意客户端可以通过在 Trailer 字段中声明这些头部，并在最后一个分块后附加它们来利用此漏洞，导致 `request.set_header` 覆盖合法值（例如由反向代理设置的值）。这使得攻击者能够伪造身份验证凭据、劫持会话、绕过基于 IP 的速率限制，或在调用 `ewe.read_body` 后读取头部的任何下游中间件中伪造代理信任头。此问题已在 3.0.5 版本中修复。

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

负责

GitHub M

预定

2026-03-16

披露

2026-03-20

管理

已接受

条目

VDB-351834

CPE

准备好

CWE

CWE-183 (已确认)

CVSS

5.3 (CNA)

EPSS

0.00090

KEV

否

活动

非常低

来源

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-32881
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-32881
CVE Details	https://www.cvedetails.com/cve/CVE-2026-32881/

◂ 上一步一览下一步 ▸

Want to know what is going to be exploited?

We predict KEV entries!