EEF-CVE-2026-39805 漏洞总结 漏洞概述 漏洞编号:EEF-CVE-2026-39805 CVSS 评分:6.3 (Medium) 发布日期:2026-05-01 漏洞类型:HTTP 请求走私(HTTP Request Smuggling) 漏洞描述: 在 工具中, 函数使用 仅返回第一个匹配的 头。当请求包含两个不同值的 头时, 会静默接受并使用第一个值读取请求体,将剩余字节作为第二个管道请求处理。这违反了 RFC 9112 §6.3 的要求,可能导致不可恢复的帧错误。 当 位于代理之后,且代理选择最后一个 值并转发请求而非拒绝时,未认证的攻击者可以走私请求,绕过 WAF 规则、基于路径的 ACL、速率限制和审计日志。 影响范围 受影响软件: 受影响版本: - - 修复版本: CPE 标识: CAPEC 标识: CWE 标识: 修复方案 升级版本:将 升级到 或更高版本。 包管理器命令: 参考链接 GitHub Advisory CVE 页面 GitHub Commit Hex.pm Package 贡献者 发现者:Peter Uličnì - FINDER 修复者:Mat Trudel - REMEDIATION_DEVELOPER 分析师:Jonatan Männchen - ANALYST