HIGH✓ PATCH🇬🇧 English

CVE-2026-40562

CVSS 7.5v3.1pub. 2026-05-06upd. 2026-05-11

Gazelle versions through 0.49 for Perl allows HTTP Request Smuggling via Improper Header Precedence. Gazelle incorrectly prioritizes "Content-Length" over "Transfer-Encoding: chunked" when both headers are present in an HTTP request. Per RFC 7230 3.3.3, Transfer-Encoding must take precedence. An attacker could exploit this to smuggle malicious HTTP requests via a front-end reverse proxy.

oryginał EN
CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
  • Kazeburo Gazelle

    APP
    Kazeburo
    < 0.50
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2025-40926CRITICAL9.8PL ✓ten sam vendor

Przewidywalne identyfikatory sesji w Plack::Middleware::Session::Simple

CVE-2026-40562 — HIGH 7.5 | CVEbaza.pl