Katalog CVE

CVE-2026-9658

WysokieCVSS 7.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Wersje Plack::Middleware::Security::Common przed 0.13.1 dla Perla nie blokowały wstrzyknięć nagłówków w ścieżkach żądań. Reguła blokująca wstrzyknięcia nagłówków była nieskuteczna, chyba że były one podwójnie kodowane.

Ocena ryzyka

Organizacje mogą być narażone na ataki związane z wstrzyknięciami nagłówków, co może prowadzić do nieautoryzowanego dostępu lub manipulacji danymi. Istnieje niepewność co do tego, jak takie żądania będą przetwarzane przez serwery oparte na Plack oraz przez odwrotne proxy.

Rekomendacja

Zaleca się aktualizację Plack::Middleware::Security::Common do wersji 0.13.1 lub nowszej, aby zabezpieczyć się przed wstrzyknięciami nagłówków. Dodatkowo, warto przeprowadzić audyt konfiguracji odwrotnych proxy w celu zapewnienia odpowiedniej ochrony.

Oryginalny opis (angielski, źródło NVD)

Plack::Middleware::Security::Common versions before 0.13.1 for Perl did not block header injections in request paths. The header injection rule was ineffective at blocking header injections in the request paths unless they were double-encoded, for example, GET /path\r\nHTTP/1.1\r\nHost: secret.example.com Note that it is unclear whether request paths with CRLF followed by additional headers would be blocked by reverse proxies, or how they would be processed by Plack-based servers.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS