CRITICAL🇬🇧 English

CVE-2026-38967

CrowCpp Crow – response header injection przez niezwalidowane nagłówki HTTP

CVSS 9.8pub. 2026-06-02upd. 2026-06-04

Biblioteka CrowCpp Crow w wersji do v1.3.1 włącznie jest podatna na atak response header injection z powodu braku walidacji wartości nagłówków odpowiedzi HTTP. Podatność może pozwolić atakującemu na manipulację odpowiedziami serwera i przeprowadzenie dalszych ataków na użytkowników aplikacji.

Pokaż oryginał (EN)

CrowCpp Crow through v1.3.1 HTTP is vulnerable to response header injection via unvalidated response header values.

🤖 Analiza AI
Jak działa

Podatność typu response header injection (CWE-113) polega na tym, że aplikacja zbudowana na bibliotece Crow akceptuje niezwalidowane dane i umieszcza je bezpośrednio w nagłówkach odpowiedzi HTTP. Atakujący może dostarczyć dane zawierające znaki nowej linii (np. CR/LF – \r\n), które powodują wstrzyknięcie dodatkowych nagłówków lub wręcz podziału odpowiedzi HTTP (HTTP response splitting). W efekcie możliwe jest sfałszowanie treści odpowiedzi serwera lub osadzenie złośliwych nagłówków.

Skutki

Atakujący może przeprowadzić ataki takie jak HTTP response splitting, cache poisoning, XSS lub przekierowanie użytkowników na złośliwe strony, co prowadzi do naruszenia poufności, integralności oraz dostępności zasobów aplikacji.

Mitygacja

Należy zaktualizować bibliotekę CrowCpp Crow do wersji zawierającej poprawkę opisaną w pull request #1167 w repozytorium projektu (https://github.com/CrowCpp/Crow/pull/1167). Należy zastosować patche dostępne u producenta zgodnie z referencjami.

Kogo dotyczy

CrowCpp Crow w wersjach do v1.3.1 włącznie

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje