Katalog CVE

CVE-2026-50630

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.14%

Percentyl 34 — wyżej niż 34% wszystkich znanych CVE

Streszczenie

W klasie AuthorizationUtils w OAuth2 występuje podatność na wstrzykiwanie CRLF. Parametr 'realm' jest łączony bez sanitizacji znaków Carriage Return (CR) i Line Feed (LF), co pozwala atakującemu na wstrzyknięcie dowolnych nagłówków HTTP lub całkowite podzielenie odpowiedzi HTTP.

Ocena ryzyka

Atakujący mogą wykorzystać tę podatność do manipulacji nagłówkami HTTP, co może prowadzić do poważnych problemów z bezpieczeństwem, w tym do ataków typu HTTP response splitting.

Rekomendacja

Zaleca się aktualizację do wersji 4.2.2 lub 4.1.7, które naprawiają tę podatność.

Oryginalny opis (angielski, źródło NVD)

A CRLF injection vulnerability exists in the OAuth2 AuthorizationUtils class. When constructing the WWW-Authenticate response header, the 'realm' parameter is concatenated without sanitizing Carriage Return (CR) and Line Feed (LF) characters. If an attacker can control the realm value, they can inject arbitrary HTTP headers or split the HTTP response entirely. Users are recommended to upgrade to versions 4.2.2 or 4.1.7, which fixes this issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS