漏洞概述 漏洞名称: Cookie attribute injection in Plug.Conn.Cookies.encode/2 CVE编号: CVE-2026-56813 漏洞类型: CWE-64 — Improper Neutralization of Parameter/Argument Delimiters CVSS 4.0 Score: 2.1 (LOW) 描述: 在 插件中, 函数在构建 响应头时,直接插入了 cookie 值及其路径、域名、same_site 和额外属性,未对分隔符进行转义。攻击者可以通过 注入或覆盖 cookie 属性(如 domain 和 path 范围),或丢弃 Secure 和 HttpOnly 标志,导致 cookie 投毒和会话固定。 影响范围 受影响版本: - 从 0.1.0 到 1.16.6 - 从 1.17.0 到 1.17.4 - 从 1.18.0 到 1.18.5 - 从 1.19.0 到 1.19.5 - 从 1.20.0 到 1.20.3 受影响模块: - - 受影响源文件: - 受影响例程: - - 修复方案 修复版本: - < 1.16.8 - < 1.17.4 - < 1.18.5 - < 1.19.5 - < 1.20.3 Git 修复提交: - - - - - - 工作区: - 验证或拒绝任何未受信任数据中的分隔符,在将其作为 cookie 值或属性传递给 或 之前。 - 回车、换行和空字节已被 头验证拒绝。 参考链接 GitHub Advisory OSV.dev GitHub Commit 致谢 发现者: Peter Ullrich 修复开发者: José Valim 分析师: Jonatan Männchen