CVE-2025-53007

Nome do Software Vulnerável e Versões Afetadas: Versões do arduino-esp32 anteriores a 3.3.0-RC1 e 3.2.1

Descrição: O problema refere-se a uma vulnerabilidade de Divisão de Resposta HTTP (HTTP Response Splitting). A função sendHeader aceita entrada arbitrária para o nome e o valor do cabeçalho HTTP, concatena-os em uma linha de cabeçalho HTTP e anexa isso aos cabeçalhos de resposta HTTP de saída. Não há validação ou sanitização dos parâmetros name ou value antes de serem incluídos na resposta HTTP. Se um atacante conseguir controlar a entrada para sendHeader, ele poderá injetar caracteres de retorno de carro (r) ou avanço de linha ( ) no nome ou no valor do cabeçalho. Isso pode permitir ao atacante injetar cabeçalhos adicionais, manipular a estrutura da resposta HTTP, potencialmente injetar uma nova resposta HTTP inteira e/ou causar confusão de cabeçalho ou outros ataques ao protocolo HTTP.

Recomendações: Para versões anteriores a 3.3.0-RC1, atualize para a versão 3.3.0-RC1 ou posterior. Para versões anteriores a 3.2.1, atualize para a versão 3.2.1 ou posterior. Como medida temporária de contorno, considere validar e sanitizar a entrada para a função sendHeader para prevenir a injeção de caracteres maliciosos.