CVE-2026-43969

Nome do Software Vulnerável e Versões Afetadas cowlib versões 2.9.0 e posteriores

Descrição A Neutralização Imprópria de Sequências CRLF (Injeção de CRLF) ocorre quando a função cow cookie:cookie/1 constrói um cabeçalho de requisição Cookie do lado do cliente a partir de pares de nome-valor sem validar os campos. Um invasor que controle esses nomes ou valores pode injetar caracteres como ;, ,, CR, LF ou TAB no cabeçalho serializado. Isso permite o contrabando de cookies (cookie smuggling), onde cookies fantasmas são introduzidos para serem tratados como autênticos pelo servidor receptor, e a divisão de cabeçalho de requisição HTTP (HTTP request header splitting), que permite a anexação de cabeçalhos arbitrários ou o contrabando de uma segunda requisição contra um proxy upstream compartilhado.

Recomendações Para as versões 2.9.0 e posteriores, valide as entradas passadas para a função cow cookie:cookie/1 para garantir que incluam apenas caracteres válidos de nome e valor de cookie, conforme definido na RFC 6265 Seção 4.1.1. Como medida de mitigação temporária, restrinja o uso de bytes controlados por invasores como nomes ou valores de cookies ao chamar a função cow cookie:cookie/1.