EEF-CVE-2026-49756 漏洞概述 漏洞名称: Improper Neutralization of CRLF Sequences ('CRLF Injection') vulnerability in wojtekmach/Req allows multipart parameter smuggling via attacker-influenced part metadata. 漏洞描述: Req库中的 参数可以通过攻击者控制的元数据进行走私,导致CRLF注入漏洞。具体来说, 方法在处理 、 和 时,没有进行适当的转义或CRLF剥离,导致攻击者可以注入额外的CRLF序列,从而构造恶意的multipart请求。 影响范围 受影响版本: 从0.5.3到0.6.0之前的版本。 严重程度: 低(CVSS v4: 4.0) 修复方案 工作区: 在将 、 和 传递给 之前,应进行清理。至少应拒绝包含 、 或 的值。在转发上传时,应从规范化字符串派生文件名,而不是使用 在用户控制的路径上。 POC代码