CVE-2025-40927

Nome do Software Vulnerável e Versões Afetadas Versões do CGI::Simple anteriores à 1.282

Descrição O CGI::Simple contém uma falha de divisão de resposta HTTP que permite a injeção de cabeçalho de resposta HTTP. Isso pode ser explorado para realizar ataques de cross-site scripting (XSS) refletido, redirecionamento aberto, envenenamento de cache ou manipulação de cabeçalho. Um atacante pode injetar um caractere de nova linha (por exemplo, %0A) em um parâmetro de string de consulta para quebrar o cabeçalho HTTP e injetar novos cabeçalhos ou um corpo inteiro, potencialmente entregando um payload de script refletido na resposta do servidor. Os mecanismos de validação existentes podem ser contornados usando valores codificados em URL.

Recomendações Atualize o CGI::Simple para a versão 1.282 ou posterior.