Twisted Software Foundation · Twisted · CVE-2026-44546
**Nome do Software Vulnerável e Versões Afetadas**
daphne versões anteriores a 4.2.2
**Descrição**
Existe um diferencial de processamento (parser differential) ao reconstruir requisições HTTP brutas a partir de cabeçalhos analisados pelo Twisted para o processamento de handshake de WebSocket no autobahn. Enquanto o Twisted não reconhece os bytes `x0b`, `x0c`, `x1c`, `x1d`, `x1e` ou `x85` como separadores de linha de cabeçalho, o autobahn decodifica esses valores para strings e utiliza a função `splitlines()`. Essa discrepância permite que um invasor injete cabeçalhos adicionais no escopo ASGI passado para a aplicação.
**Recomendações**
Atualize para a versão 4.2.2 ou posterior.