CVE-2026-48598

Nome do Software Vulnerável e Versões Afetadas tesla versões 0.8.0 até 1.18.2

Descrição A codificação ou escape inadequado de saída permite a injeção de cabeçalho de parte multipart por meio de valores de parâmetro Content-Disposition não escapados. A função part headers for disposition() interpola parâmetros de disposição sem validar caracteres de retorno de carro (r), alimentação de linha ( ) ou aspas duplas. Esses valores são recebidos do chamador via add field() (parâmetro name), add file() (parâmetro filename) e add file content() (parâmetro filename e outras opções de disposição). Um caractere de aspas duplas pode fechar prematuramente um parâmetro citado, enquanto sequências r podem encerrar o cabeçalho Content-Disposition para iniciar um novo cabeçalho forjado ou encerrar o bloco de cabeçalhos para prepender bytes ao corpo da parte. Além disso, o caminho do nome de arquivo padrão em add file() utiliza Path.basename(), que não remove retornos de carro ou alimentações de linha.

Recomendações Atualize para a versão 1.18.3. Valide os valores dos parâmetros de disposição antes de passá-los para add field(), add file() ou add file content(), rejeitando qualquer valor que contenha r, ou aspas duplas.