CWE-93БазаЧерновик
Некорректная нейтрализация последовательностей CRLF ('CRLF-инъекция')
Продукт использует CRLF (возврат каретки и перевод строки) в качестве специального элемента — например, для разделения строк или записей, — однако не нейтрализует или некорректно нейтрализует последовательности CRLF во входных данных.
Открыть в каталоге с фильтром CWE →Связанные уязвимости
CVE-2026-33128H3 - это минимальный вариант H (TTP). В версиях до 1.15.6 и от 2.0.0 до 2.0.1-rc.14 createEventStream уязвим для инъекций Server-Sent Events (SSE) из-за отсутствия дезинфекции новой линии в формате EventStreamMessage() и формате EventStreamComment(). Злоумышленник, который контролирует любую часть поля сообщений SSE (id, event, data или comment), может вводить произвольные события SSE подключенным клиентам. Эта проблема исправлена в версиях 1.15.6 и 2.0.1-rc.15.
CVE-2024-51501Refit - это автоматическая типобезопасная библиотека REST для .NET Core, Xamarin и .NET. Различные атрибуты Refit, связанные с заголовками (Header, HeaderCollection и Authorize), уязвимы для внедрения CRLF. Способ добавления HTTP-заголовков в запрос осуществляется через метод `HttpHeaders.TryAddWithoutValidation`. Этот метод не проверяет наличие символов CRLF в значении заголовка. Это означает, что любые заголовки, добавленные в запрос refit, уязвимы для внедрения CRLF. В общем, внедрение CRLF в HTTP-заголовок (при использовании HTTP/1.1) означает, что можно внедрить дополнительные HTTP-заголовки или пронести целые HTTP-запросы. Если приложение, использующее библиотеку Refit, передает значение, контролируемое пользователем, в заголовок, то это приложение становится уязвимым для внедрения CRLF. Это не обязательно является проблемой безопасности для приложения командной строки, подобного приведенному выше, но если такой код присутствует в веб-приложении, то оно становится уязвимым для разделения запросов (как показано в PoC) и, следовательно, для Server Side Request Forgery. Строго говоря, это потенциальная уязвимость в приложениях, использующих Refit, а не в самом Refit. Эта проблема была решена в версиях 7.2.22 и 8.0.0, и всем пользователям рекомендуется обновиться. Известных обходных путей для этой уязвимости нет.
CVE-2026-45372cpp-httplib представляет собой кросс-платформу только для заголовков C++11, только для заголовков, библиотека HTTP/HTTPS. До 0.44.0, когда сервер cpp-httplib анализирует входящий запрос, он применяет процентное декодирование к каждому значению заголовка, кроме Location and Referer. Проверка действительности (is_field_value) запускается перед декодированием, поэтому закодированная %0D%0A проверка проходит проверку, а затем расширяется до буквальной \r\n пары буксовок внутри сохраненного значения заголовка. Эта уязвимость фиксируется в 0.44.0.
CVE-2026-50292В либинпуте до 1.30.4 и 1.31.x до 1.31.3, выход из липбинпут-группы безудержного физического средства может вводить свойства udev, приводящие к произвольному исполнению корневого кода
CVE-2026-39394CI4MS - это скелет CMS на базе CodeIgniter 4, который обеспечивает готовую к производству модульную архитектуру с авторизацией RBAC и поддержкой темы. До 0.31.4.0 контроллер Install::index() считывает параметр host POST без какой-либо проверки и передает его непосредственно в updateEnvSettings(), который записывает его в файл .env через preg_replace(). Поскольку новые символы в значении не сняты, злоумышленник может ввести в файл .env произвольные директивы конфигурации. Маршруты установки имеют явно отключенную защиту CSRF, и InstallFilter может быть обойден, когда кэш (настройки) пуст (истект кэша или новое развертывание). Эта уязвимость зафиксирована в 0.31.4.0.
CVE-2026-11362DataDog::DogStatsd версии через 0.07 для Perl позволяют метрические инъекции из тегов событий.
DataDog::DogStatsd не дезинфицирует должным образом ввод, позволяя метрические инъекции данных из ненадежных источников.
Метод формата_событий (используемый методом события) не проверяет содержание меток, которые могут содержать запятые (позволяющие вводить метки) или новые линии, трубы и толстые кишки, которые допускают метрические инъекции. (Существует неэффективное s/|//g удаление труб, но поскольку труба не ускользает, она интерпретируется как мета-характер регулярного выражения и не имеет никакого эффекта.)
CVE-2026-34458Sandboxie-Plus - это программное обеспечение для изоляции на основе песочницы с открытым исходным кодом для Windows. В версиях 1.17.2 и ранее уязвимость инъекций INI позволяет любому стандартному локальному пользователю обходить ограничения конфигурации (EditAdminOnly и ConfigPassword) и вводить произвольные директивы в глобальный файл конфигурации Sandboxie.ini. Служба фона пропускает проверки авторизации для сообщений IPC, нацеленных на разделы, начиная с UserSettings_, но не дезинфицирует символы CRLF ни в параметре значения (через MSGID_SBIE_INI_ADD_SETTING), ни в параметре настройки имени (через MSGID_SBIE_INI_SET_SET_SETTING). Нападающий может ввести новый заголовок секции песочницы с неограниченными разрешениями, что позволяет избежать песчаной коробки и привилегировать эскалацию SYSTEM. Эта проблема исправлена в версии 1.17.3.
CVE-2025-40671Уязвимость SQL-инъекции в Gestnet v1.07 от AES Multimedia. Эта уязвимость позволяет злоумышленнику извлекать, создавать, обновлять и удалять базы данных через параметр ‘fk_remoto_central’ на конечной точке ‘/webservices/articles.php’ [1].
Источники:
- [1] https://www.incibe.es/en/incibe-cert/notices/aviso/sql-injection-vulnerability-aes-multimedias-gestnet
CVE-2026-9270DataDog::DogStatsd версии через 0.07 для Perl позволяют метрические инъекции.
DataDog::DogStatsd не дезинфицирует должным образом ввод, позволяя метрические инъекции данных из ненадежных источников.
Метод send_stats не удаляет новые линии из метрических имен (переменная стата), что позволяет злоумышленникам изменять префикс метрического имени.
Метод send_stats не проверяет содержание значения (переменной дельта), позволяя злоумышленникам вводить метрики, особенно из методов, которые не ограничивают тип данных для значения, таких как набор, датчик, счет и гистограмма.
Метод send_stats не проверяет содержание меток, которые могут содержать новые линии, трубы и толстые кишки, которые позволяют метрические инъекции.
Обратите внимание, что SYNOPSIS показывает пример передачи параметра «loginName» от веб-сайта в виде тега, который небезопасен.
CVE-2026-50638Показатели::Любой: Адаптер::DogStatsd версии до 0.04 для Perl не защищает от метрических инъекций.
Протокол статистики (и расширения, такие как dogstatsd) позволяют отправлять несколько метрик, разделенных новыми линиями, отправляться на пакет.
Показатели::Любая::Адаптер::Статистка, которая расширяет показатели::Any:Adapter::Statsd, который имеет аналогичную уязвимость.
Кроме того, функция тегов не проверяет теги для новых линий или символов управления статусом. Теги можно использовать для метрических инъекций.
CVE-2026-5140Неправильная нейтрализация уязвимости последовательностей CRLF ('CRLF инъекции) в TUBITAK BILGEM Software Technologies Research Institute Pardus Update позволяет аутентифицировать шунтирование.
Эта проблема затрагивает обновление Pardus: от 0.6.3 до 0.6.4.
CVE-2025-8715Выполнение произвольного кода в Postgres Pro Certified, PostgreSQL
CVE-2025-28357Уязвимость инъекций CRLF в Neto CMS v6.313.0 через v6.314.0 позволяет злоумышленникам выполнять произвольный код, поставляя созданный HTTP-запрос.
CVE-2021-39172Cachet — это система страниц статуса с открытым исходным кодом. До версии 2.5.1 аутентифицированные пользователи, независимо от их привилегий (Пользователь или Администратор), могут использовать внедрение новой строки в функции редактирования конфигурации (например, настройки почты) и получить произвольное выполнение кода на сервере. Эта проблема была решена в версии 2.5.1 путем улучшения `UpdateConfigCommandHandler` и предотвращения использования символов новой строки в новых значениях конфигурации. В качестве обходного пути разрешите доступ к панели управления администрированием только доверенным IP-адресам источника.
CVE-2018-6148Некорректная реализация политики безопасности контента в Google Chrome до версии 67.0.3396.79 позволяла удаленному злоумышленнику обходить ограничения навигации через специально созданную HTML-страницу.