CVE-2026-44546

Nome do Software Vulnerável e Versões Afetadas daphne versões anteriores a 4.2.2

Descrição Existe um diferencial de processamento (parser differential) ao reconstruir requisições HTTP brutas a partir de cabeçalhos analisados pelo Twisted para o processamento de handshake de WebSocket no autobahn. Enquanto o Twisted não reconhece os bytes x0b, x0c, x1c, x1d, x1e ou x85 como separadores de linha de cabeçalho, o autobahn decodifica esses valores para strings e utiliza a função splitlines(). Essa discrepância permite que um invasor injete cabeçalhos adicionais no escopo ASGI passado para a aplicação.

Recomendações Atualize para a versão 4.2.2 ou posterior.