Npm · Morgan · CVE-2026-5078
**Nome do Software Vulnerável e Versões Afetadas**
morgan versões 1.2.0 até 1.10.1
**Description**
O middleware de logging não neutraliza caracteres de controle quando o token `:remote-user` extrai o nome de usuário de autenticação Basic do cabeçalho de requisição Authorization. Um invasor não autenticado pode enviar um cabeçalho Authorization Basic manipulado contendo bytes de Carriage Return (CR) ou Line Feed (LF) para injetar linhas de log forjadas. Isso quebra a estrutura de uma requisição por linha dos logs de acesso, permitindo a falsificação de logs para consumidores de log downstream. O problema afeta os formatos integrados combined, common, default e short, bem como qualquer formato personalizado que referencie `:remote-user`.
**Recommendations**
Atualize para a versão 1.11.0.
Como alternativa temporária, utilize uma string de formato personalizada que não inclua `:remote-user`.