CVE-2026-49756
NiskieCVSS 2.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 6 — wyżej niż 6% wszystkich znanych CVE
Streszczenie
Podatność typu CRLF Injection w bibliotece wojtekmach Req pozwala na przemycanie parametrów multipart poprzez złośliwie zmodyfikowane metadane części. Problem wynika z braku odpowiedniego neutralizowania sekwencji CRLF w nagłówkach budowanych na podstawie danych dostarczonych przez użytkownika.
Ocena ryzyka
Organizacje mogą być narażone na ataki, które umożliwiają wstrzykiwanie dowolnych nagłówków do wychodzącego ciała multipart, co może prowadzić do nieautoryzowanego dostępu lub manipulacji danymi. Atakujący może również przemycać dodatkowe pola i części do żądań wysyłanych do usług docelowych.
Rekomendacja
Zaleca się aktualizację biblioteki Req do wersji 0.6.0 lub nowszej, aby usunąć tę podatność. Dodatkowo, należy wprowadzić odpowiednie mechanizmy walidacji i sanitizacji danych wejściowych, szczególnie w przypadku nazw plików i typów MIME.
Oryginalny opis (angielski, źródło NVD)
Improper Neutralization of CRLF Sequences ('CRLF Injection') vulnerability in wojtekmach Req allows multipart parameter smuggling via attacker-influenced part metadata. Req.Utils.encode_form_part/2 in lib/req/utils.ex builds the per-part headers by interpolating the caller-supplied name, filename, and content_type values directly into the content-disposition and content-type lines with no escaping or CRLF stripping. A value containing ", \r, or \n closes the surrounding quoted value and starts a new header line; an additional \r\n--<boundary> terminates the current part and prepends a smuggled part of the attacker's choosing. This is reachable through every supported way of supplying a part. It is particularly easy when value is a %File.Stream{}, because filename then defaults to Path.basename(stream.path) and POSIX filenames may legitimately contain \r and \n. Any application that forwards user-controlled filenames (or field names / MIME types) through Req.post/2 with form_multipart: lets an attacker inject arbitrary headers into the outgoing multipart body or smuggle additional fields and parts into the request the victim service sends downstream. This issue affects req: from 0.5.3 before 0.6.0.

