CVE-2025-53094

Nome do Software Vulnerável e Versões Afetadas: Versões do ESPAsyncWebServer até e incluindo a 3.7.8

Descrição: Existe uma vulnerabilidade de injeção CRLF na construção e saída de cabeçalhos HTTP no AsyncWebHeader.cpp. Entradas não sanitizadas permitem que atacantes injetem caracteres CR (r) ou LF ( ) em nomes ou valores de cabeçalho, levando à manipulação arbitrária de cabeçalhos ou respostas. Isso pode possibilitar uma ampla gama de ataques.

Recomendações: Para as versões até e incluindo a 3.7.8, aplique a correção disponível no pull request 211, que deve fazer parte da versão 3.7.9. Como solução alternativa temporária, considere restringir a entrada no AsyncWebHeader.cpp para evitar injeções de caracteres CR e LF até que o patch seja aplicado.