CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-48598

LowCVSS 2.1
Published: Updated: Translated: NVD NIST

Exploitation Probability (EPSS)

Low risk
0.14%

4th percentile — higher than 4% of all known CVEs

Summary

Podatność w elixir-tesla (CVE-2026-48598) polega na niewłaściwym kodowaniu lub ucieczce danych wyjściowych, co pozwala na wstrzykiwanie nagłówków części multipart poprzez nieescapowane wartości parametru Content-Disposition. Parametry są interpolowane bez walidacji znaków CR, LF lub podwójnych cudzysłowów.

Risk Assessment

Organizacje mogą być narażone na ataki, które umożliwiają wstrzykiwanie złośliwych nagłówków, co może prowadzić do nieautoryzowanego dostępu lub manipulacji danymi. W szczególności, atakujący może przejąć kontrolę nad nagłówkami części, co stwarza poważne zagrożenie dla integralności aplikacji.

Recommendation

Zaleca się aktualizację biblioteki tesla do wersji 1.18.3 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto wprowadzić walidację i sanitizację wartości parametrów przed ich użyciem w nagłówkach.

Original NVD description (English source)

Improper Encoding or Escaping of Output vulnerability in elixir-tesla tesla allows multipart part header injection via unescaped Content-Disposition parameter values. Tesla.Multipart.part_headers_for_disposition/1 interpolates each disposition parameter as #{k}="#{v}" with no validation of CR (\r), LF (\n), or double-quote characters. The values come verbatim from the caller via Tesla.Multipart.add_field/4 (the name parameter), Tesla.Multipart.add_file/3, and Tesla.Multipart.add_file_content/4 (both the filename parameter and other disposition opts). A " in the value closes the quoted parameter early; a \r\n ends the Content-Disposition header line and starts a new part header (such as a forged Content-Type), or, after a second \r\n, ends the entire part header block and prepends bytes to the part body. The default-filename path in add_file/3 derives the filename via Path.basename/1, which does not strip CR or LF, so any application forwarding a partially-attacker-controlled file path inherits the same issue. This issue affects tesla: from 0.8.0 before 1.18.3.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS