CVE-2026-48596

Nome do Software Vulnerável e Versões Afetadas tesla versões 0.8.0 até 1.18.2

Description A Neutralização Imprópria de Sequências CRLF em Cabeçalhos HTTP, também conhecida como HTTP Request/Response Splitting, permite a injeção de cabeçalhos HTTP. A função add content type param/2 no módulo Tesla.Multipart anexa strings fornecidas pelo chamador à lista content type params sem validar caracteres de Retorno de Carro (r) ou Alimentação de Linha ( ). Posteriormente, a função headers/1 em Tesla.Multipart junta esses parâmetros literalmente para construir o valor do cabeçalho Content-Type de saída. Se um parâmetro contiver r , ele divide a linha do cabeçalho, permitindo a injeção de cabeçalhos arbitrários na requisição HTTP de saída. Isso ocorre quando uma aplicação encaminha entradas não confiáveis, como um charset ou string de parâmetro fornecido pelo usuário, para a função add content type param/2.

Recommendations Atualize para a versão 1.18.3 ou posterior. Como medida paliativa temporária, valide as strings de parâmetros de content-type antes de passá-las para a função add content type param/2, rejeitando qualquer valor que contenha r ou .