CVE-2026-48861

Nome do Software Vulnerável e Versões Afetadas mint versões 0.1.0 até 1.8.x

Description A Neutralização Imprópria de Sequências CRLF, também conhecida como CRLF Injection, permite a Divisão de Requisições HTTP (HTTP Request Splitting) e o Contrabando de Requisições HTTP (HTTP Request Smuggling). Na função encode request line/2 dentro de lib/mint/http1/request.ex, os argumentos method e target são inseridos diretamente na linha de requisição HTTP/1 sem validação de caracteres. Aplicações que encaminham entradas controladas por atacantes como o método HTTP ou alvo para a função Mint.HTTP.request/5 estão expostas à injeção de CRLF na linha de requisição. Isso permite que um atacante encerre a linha de requisição prematuramente, injete cabeçalhos arbitrários e realize o contrabando de uma requisição HTTP pipelined separada na mesma conexão TCP. Embora a função validate request target/2 introduzida na versão 1.7.0 rejeite caracteres CRLF e de controle no target por padrão, o campo method permanece sem validação em todas as versões.

Recommendations Atualize para a versão 1.9.0 ou posterior.