Loïc Hoguin

**Nome do Software Vulnerável e Versões Afetadas** cowlib versões 2.9.0 e posteriores **Description** A neutralização inadequada de sequências CRLF em cabeçalhos HTTP permite a divisão de resposta HTTP (HTTP response splitting) por meio de bytes não-VCHAR em valores de string de campos estruturados. A função `escape string/2` em `cow http struct hd` escapa apenas barras invertidas e aspas duplas, transmitindo outros bytes literalmente. Isso cria uma assimetria onde o parser aceita apenas ASCII imprimível, mas o codificador emite qualquer byte, incluindo Carriage Return (CR) e Line Feed (LF). Uma aplicação que constrói um cabeçalho HTTP estruturado via `item/1` em `cow http struct hd` (ou wrappers como `wt protocol/1` em `cow http hd`) usando entrada controlada por um atacante pode ter sequências CRLF injetadas. Essas sequências encerram o cabeçalho atual, fazendo com que os bytes subsequentes sejam interpretados como um novo cabeçalho. **Recommendations** Para as versões 2.9.0 e posteriores, valide todos os valores passados para os construtores de cabeçalhos de campos estruturados, como `item/1` em `cow http struct hd`, e rejeite quaisquer valores que contenham bytes CR ou LF ou que não provenham de uma fonte confiável. Como mitigação temporária, restrinja o uso de dados controlados por atacantes dentro da função `item/1` de `cow http struct hd`.

**Nome do Software Vulnerável e Versões Afetadas** ninenines gun versões 2.0.0 até 2.3.x **Descrição** Um erro de validação de origem no módulo `gun http2` permite a injeção de cookies de origem cruzada (cross-origin) por meio de uma autoridade HTTP/2 PUSH PROMISE não validada. Na função `push promise frame()`, o pseudo-cabeçalho `:authority` de um frame PUSH PROMISE recebido é armazenado no registro de stream prometido sem verificar se ele corresponde à origem da conexão. Posteriormente, a função `headers frame()` chama a `set cookie header()` utilizando essa autoridade não validada. Este comportamento viola os padrões de protocolo que exigem que os receptores tratem pushes de recursos para os quais o servidor não é autoritativo como erros de protocolo. Um servidor HTTP/2 malicioso ou comprometido pode usar isso para implantar cookies de domínios de terceiros arbitrários no armazenamento de cookies compartilhado do cliente, podendo levar a ataques de fixação de sessão ou sequestro de conta. Isso é explorável quando o software está configurado com um `cookie store` e se conecta a um servidor HTTP/2 com server push habilitado. **Recomendações** Atualize para a versão 2.4.0 ou posterior. Como mitigação temporária, evite conectar-se a servidores HTTP/2 com server push habilitado ou desative a configuração `cookie store`.

**Nome do Software Vulnerável e Versões Afetadas** ninenines gun versões 1.0.0 até 2.3.x **Descrição** O Consumo Não Controlado de Recursos no módulo `gun http` permite que um servidor malicioso esgote a memória do cliente por meio do buffer de resposta HTTP/1.1 ilimitado. Na função `handle()/5`, três cláusulas acumulam dados TCP recebidos no buffer da conexão usando concatenação binária sem verificação de limite superior. Especificamente, a cláusula head anexa dados até que o terminador de cabeçalho seja encontrado, a cláusula `body chunked` anexa dados quando `cow http te:stream chunked()/2` indica um limite de chunk incompleto, e a cláusula `body trailer` anexa dados até que o terminador final seja encontrado. Se o terminador esperado nunca chegar, o binário cresce indefinidamente no estado. Um servidor malicioso pode explorar isso enviando uma resposta parcial que nunca termina, levando ao crescimento ilimitado do heap. Como o BEAM não impõe limites de heap por processo por padrão, uma única conexão pode esgotar toda a memória disponível no nó, resultando em um travamento de falta de memória (out-of-memory) em todo o nó. **Recomendações** Atualize para a versão 2.4.0 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** gun versões 2.0.0 até 2.3.x **Descrição** Um problema no módulo `gun http` permite que um servidor HTTP malicioso force um cliente para o modo de protocolo bruto (raw protocol mode) ao enviar uma resposta 101 Switching Protocols não solicitada. Na função `handle inform/8`, o software verifica a sintaxe do cabeçalho Upgrade e a referência do fluxo, mas não verifica se o cliente realmente solicitou um upgrade através dos cabeçalhos Upgrade ou Connection: upgrade. Consequentemente, qualquer resposta 101 dispara uma mensagem `gun upgrade` e transita a conexão para o modo de protocolo bruto. Neste modo, o `gun raw` desativa o controle de fluxo e rearma o modo ativo do socket após cada pacote, permitindo que um servidor inunde o cliente com bytes arbitrários. Estes são encaminhados como mensagens `gun data` ilimitadas, o que pode esgotar a caixa de correio do processo proprietário e a memória BEAM, levando ao travamento da máquina virtual. **Recomendações** Atualize para a versão 2.4.0 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** cowboy versões 2.0.0 até 2.14.x **Descrição** Um problema na análise de cabeçalhos multipart permite que um invasor não autenticado cause uma negação de serviço por meio do acúmulo ilimitado de buffer. A função `read part()` em `src/cowboy req.erl` acumula bytes de requisição recebidos em um binário Buffer sem uma verificação de limite superior. Quando a função `parse headers()` retorna mais dados, a função continua a ler e recursar com um buffer ampliado. Ao enviar uma requisição `multipart/form-data` que nunca fornece uma seção de cabeçalho completa — como aquela que não contém o delimitador de limite ou a sequência ` ` — um invasor pode forçar o servidor a acumular memória linearmente, potencialmente esgotando a memória BEAM com alguns uploads simultâneos. Isso ocorre quando um endpoint HTTP chama `read part/1,2` para processar corpos de requisição. **Recomendações** Atualize para a versão 2.15.0 ou posterior. Como medida paliativa temporária, restrinja o acesso a endpoints que processam corpos de requisição `multipart/form-data` utilizando a função `read part()`.

**Nome do Software Vulnerável e Versões Afetadas** cowlib versões 0.1.0 até 2.16.0 **Descrição** O manuseio inadequado de dados altamente compactados leva à amplificação de dados, permitindo que um ator remoto não autenticado cause uma negação de serviço via exaustão de memória. A função `cow spdy:inflate/2` passa bytes compactados de um peer para `zlib:inflate/2` sem um limite de tamanho de saída. Como o dicionário de compressão de cabeçalho SPDY (`?ZDICT`) é público e o zlib pode compactar bytes repetidos em uma proporção de aproximadamente 1024:1, um pequeno payload de quadro SPDY pode ser descompactado em gigabytes no heap do BEAM, resultando em uma condição de falta de memória (OOM) que derruba o nó. Esta condição pode ser disparada por um único quadro SPDY não autenticado. A função `cow spdy:parse headers/2` afeta os analisadores dos tipos de quadro `syn stream`, `syn reply` e `headers`. Este problema impacta especificamente aplicações que utilizam `cow spdy:parse/2` para analisar quadros SPDY de peers não confiáveis. **Recomendações** Atualize para a versão 2.16.1 ou posterior. Como mitigação temporária, restrinja o uso da função `cow spdy:parse/2` ao lidar com dados de peers não confiáveis.

**Nome do Software Vulnerável e Versões Afetadas** cowlib versões 2.6.0 e posteriores **Descrição** A Neutralização Imprópria de Sequências CRLF (Injeção de CRLF) permite a divisão e injeção de eventos SSE por meio de valores de campo não validados. A função `cow sse:event/1` protege os campos `id` e `event` contra ` `, mas não contra `r`, e a função interna `prefix lines/2`, utilizada para campos de dados e comentários, realiza a divisão apenas em ` `. Como a especificação SSE exige que os decodificadores tratem `r `, `r` e ` ` como terminadores de linha equivalentes, um invasor que controle qualquer um desses campos pode injetar linhas SSE adicionais e forjar um evento completo com um tipo de evento e carga de dados arbitrários no receptor. Em implantações típicas onde clientes EventSource de navegadores ou outros consumidores de SSE despacham em `event.type` e renderizam `event.data`, isso permite a divisão de eventos, manipulação de lógica no lado do cliente e comportamento equivalente a XSS armazenada quando os dados do evento são inseridos no DOM. **Recomendações** Para as versões 2.6.0 e posteriores, sanitize valores controlados pelo usuário antes de passá-los para `cow sse:event/1`, rejeitando ou removendo qualquer valor que contenha caracteres `r` ou ` ` nos campos `id`, `event`, `data` e `comment`. Garanta que todos os valores de campo SSE sejam derivados exclusivamente de dados confiáveis e controlados pela aplicação, em vez de entradas do usuário.

**Nome do Software Vulnerável e Versões Afetadas** cowlib versões 0.6.0 até 2.16.0 **Descrição** Um problema de consumo descontrolado de recursos no módulo `cow http te` permite a alocação excessiva. O analisador de codificação de transferência fragmentada (chunked transfer-encoding) aceita um número ilimitado de dígitos hexadecimais no campo de tamanho do fragmento. Cada dígito dispara uma multiplicação de bignum, resultando em trabalho de CPU O(N²) e uso de memória O(N) para N dígitos hexadecimais. Quando a entrada é fornecida em gotas (drip-fed), o analisador descarta o comprimento acumulado em leituras parciais e reinicia, aumentando o custo para O(N³). Um invasor remoto não autenticado pode causar a negação de serviço via exaustão de CPU e amplificação de memória enviando uma solicitação HTTP/1.1 com `Transfer-Encoding: chunked` e uma string hexadecimal de tamanho de fragmento excessivamente longa. Este problema está associado ao arquivo `src/cow http te.erl` e às funções `cow http te:stream chunked/2` e `cow http te:chunked len/4`. **Recomendações** Atualize para a versão 2.16.1. No Cowboy, defina `initial stream flow size` para um valor significativamente menor para limitar a quantidade de dados de corpo fragmentados analisados em uma única leitura, reduzindo o impacto do consumo de recursos.