CVE-2026-34715

Nome do Software Vulnerável e Versões Afetadas Ewe versões anteriores a 3.0.6

Descrição A função encode headers em src/ewe/internal/encoder.gleam interpola diretamente chaves e valores de cabeçalhos de resposta em bytes HTTP brutos sem validar ou remover sequências CRLF (r ). Isso permite que um invasor injete conteúdo de resposta HTTP arbitrário quando dados controlados pelo usuário são passados para os cabeçalhos de resposta, potencialmente levando a divisão de resposta, envenenamento de cache e scripting entre sites. O problema decorre da falta de validação para cabeçalhos de resposta de saída, enquanto os cabeçalhos de solicitação de entrada são validados por meio de validate field value() no analisador HTTP/1.1. O código vulnerável está localizado na função encode headers, onde tanto key quanto value são inseridos diretamente na saída BitArray sem higienização. Um exemplo de exploração envolve definir um cabeçalho de redirecionamento Location de um parâmetro de solicitação contendo sequências CRLF.

Recomendações Atualize para a versão 3.0.6 ou posterior.