CVE-2026-43966

Nome do Software Vulnerável e Versões Afetadas cowlib versões 2.9.0 e posteriores

Description A neutralização inadequada de sequências CRLF em cabeçalhos HTTP permite a divisão de resposta HTTP (HTTP response splitting) por meio de bytes não-VCHAR em valores de string de campos estruturados. A função escape string/2 em cow http struct hd escapa apenas barras invertidas e aspas duplas, transmitindo outros bytes literalmente. Isso cria uma assimetria onde o parser aceita apenas ASCII imprimível, mas o codificador emite qualquer byte, incluindo Carriage Return (CR) e Line Feed (LF). Uma aplicação que constrói um cabeçalho HTTP estruturado via item/1 em cow http struct hd (ou wrappers como wt protocol/1 em cow http hd) usando entrada controlada por um atacante pode ter sequências CRLF injetadas. Essas sequências encerram o cabeçalho atual, fazendo com que os bytes subsequentes sejam interpretados como um novo cabeçalho.

Recommendations Para as versões 2.9.0 e posteriores, valide todos os valores passados para os construtores de cabeçalhos de campos estruturados, como item/1 em cow http struct hd, e rejeite quaisquer valores que contenham bytes CR ou LF ou que não provenham de uma fonte confiável. Como mitigação temporária, restrinja o uso de dados controlados por atacantes dentro da função item/1 de cow http struct hd.