目標達成 すべての支援者に感謝 — 100%達成しました!

目標: 1000 CNY · 調達済み: 1336 CNY

100%

CVE-2026-43969— Cowlib 注入漏洞

AI Predicted 8.1 Difficulty: Moderate EPSS 0.14% · P4

Affected Version Matrix 2

ベンダープロダクトVersion Rangeステータス
nineninescowlib2.9.0affected
f017f8a0ecbffd5033d9ab49bf180186f7a523a7affected
新しい脆弱性情報の通知を購読するログインして購読

I. CVE-2026-43969の基本情報

脆弱性情報

脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗

高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。

脆弱性タイトル
Cookie Request Header Injection via Unvalidated Encoder in cow_cookie:cookie/1
ソース: NVD (National Vulnerability Database)
脆弱性説明
Improper Neutralization of CRLF Sequences ('CRLF Injection') vulnerability in ninenines cowlib allows HTTP request splitting and cookie smuggling via unvalidated cookie name and value fields. cow_cookie:cookie/1 in cowlib builds a client-side Cookie: request header from a list of name-value pairs without validating either field. An attacker who controls the cookie names or values passed to this function can inject ;, ,, CR, LF, or TAB characters into the serialized header. This enables two classes of attack: cookie smuggling within a single header (e.g. injecting "; admin=1" to introduce a phantom cookie that the receiving server treats as authentic) and HTTP request header splitting (injecting CRLF to append arbitrary headers or smuggle a complete second request against a shared upstream proxy). The decoder side (parse_cookie_name/1, parse_cookie_value/1) and setcookie/3 already validate and reject these characters; the encoder alone is missing the check. This issue affects cowlib from 2.9.0.
ソース: NVD (National Vulnerability Database)
CVSS情報
N/A
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
对CRLF序列的转义处理不恰当(CRLF注入)
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
Cowlib 注入漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
Cowlib是Nine Nines开源的一个Web协议消息解析与构建库。 cowlib 2.9.0版本存在注入漏洞,该漏洞源于cow_cookie:cookie/1在cowlib中从名称值对列表构建客户端Cookie请求标头而未验证任一字段,控制cookie名称或值的攻击者可向序列化标头注入;、、、CR、LF或TAB字符,实现cookie走私和HTTP请求标头分割攻击。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)

影響を受ける製品

ベンダープロダクト影響を受けるバージョンCPE購読
nineninescowlib 2.9.0 cpe:2.3:a:ninenines:cowlib:*:*:*:*:*:*:*:*
nineninescowlib f017f8a0ecbffd5033d9ab49bf180186f7a523a7 cpe:2.3:a:ninenines:cowlib:*:*:*:*:*:*:*:*

II. CVE-2026-43969の公開POC

#POC説明ソースリンクShenlongリンク
AI生成POCプレミアム

公開POCは見つかりませんでした。

ログインしてAI POCを生成

III. CVE-2026-43969のインテリジェンス情報

登录查看更多情报信息。

CVE-2026-43969 补丁与修复 (1)

CVE-2026-43969 厂商安全公告 (2)

Same Patch Batch · ninenines · 2026-05-11 · 3 CVEs total

CVE-2026-7790Unbounded chunk-size hex digits in cowlib cause quadratic CPU and memory DoS
CVE-2026-43968CR Injection in SSE Encoder Enables Event Splitting via cow_sse:event/1

IV. 関連脆弱性

V. CVE-2026-43969へのコメント

まだコメントはありません


コメントを残す