CVEbaza.plSłownik CWECWE-93
Common Weakness Enumeration

CWE-93

Improper Neutralization of CRLF Sequences ('CRLF Injection')

Kategoria: BaseCVE: 188
Opis

Produkt wykorzystuje sekwencje CRLF (powrót karetki i przesunięcie linii) jako elementy specjalne, na przykład do rozdzielania linii lub rekordów, ale nie neutralizuje lub nieprawidłowo neutralizuje sekwencje CRLF pochodzące z danych wejściowych. Może to prowadzić do manipulacji strukturą dokumentu i wykonania nieautoryzowanych operacji.

Description (EN)

The product uses CRLF (carriage return line feeds) as a special element, e.g. to separate lines or records, but it does not neutralize or incorrectly neutralizes CRLF sequences from inputs.

Podatności CVE z CWE-93 (188)
10.0
CVSS
CRITICAL
CVE-2024-51501

Biblioteka Refit dla .NET Core, Xamarin i .NET jest podatna na CRLF injection poprzez atrybuty nagłówków HTTP (Header, HeaderCollection, Authorize). Podatność umożliwia wstrzyknięcie dodatkowych nagłówków HTTP lub przemyt całych żądań, co w aplikacjach webowych prowadzi do SSRF.

pub. 2024-11-04
9.9
CVSS
CRITICAL
CVE-2026-45372

Biblioteka cpp-httplib w wersjach przed 0.44.0 jest podatna na CRLF injection w nagłówkach HTTP. Atakujący może wstrzyknąć sekwencję \r\n do wartości nagłówków, co umożliwia manipulację odpowiedziami serwera i potencjalnie poważne naruszenie integralności komunikacji.

pub. 2026-05-29
9.8
CVSS
CRITICAL
CVE-2026-11362

Biblioteka DataDog::DogStatsd w wersjach do 0.07 dla języka Perl nie waliduje poprawnie danych wejściowych w tagach zdarzeń, co umożliwia wstrzyknięcie złośliwych metryk. Podatność jest krytyczna, ponieważ atakujący może manipulować danymi telemetrycznymi bez uwierzytelnienia, zdalnie przez sieć.

pub. 2026-06-05
9.6
CVSS
CRITICAL
CVE-2024-32986

Narzędzie PWAsForFirefox nieprawidłowo sanityzuje właściwości aplikacji PWA (takie jak nazwa, opis, skróty), co pozwala złośliwej aplikacji webowej na wstrzyknięcie dowolnych wpisów do plików konfiguracyjnych systemu. W wyniku tego atakujący może wykonać dowolny kod na urządzeniu użytkownika.

pub. 2024-05-03
9.3
CVSS
CRITICAL
CVE-2026-34458

Sandboxie-Plus w wersjach 1.17.2 i wcześniejszych zawiera podatność typu INI injection (CWE-93), która pozwala zwykłemu lokalnemu użytkownikowi ominąć zabezpieczenia konfiguracyjne i wstrzyknąć dowolne dyrektywy do globalnego pliku konfiguracyjnego Sandboxie.ini. Jest to groźne, ponieważ umożliwia ucieczkę z sandboxa oraz eskalację uprawnień do poziomu SYSTEM.

pub. 2026-05-05
9.3
CVSS
CRITICAL
CVE-2025-40671

W aplikacji Gestnet v1.07 firmy AES Multimedia wykryto krytyczną podatność typu SQL injection, która umożliwia nieuwierzytelnionemu atakującemu zdalne wykonywanie dowolnych operacji na bazie danych. Ze względu na brak wymagań uwierzytelnienia i sieciową dostępność endpointu, zagrożenie jest oceniane jako krytyczne (CVSS 9.3).

pub. 2025-05-26
9.2
CVSS
CRITICAL
CVE-2026-29046

TinyWeb (serwer HTTP/HTTPS napisany w Delphi dla Win32) przed wersją 2.04 nie odrzucał niebezpiecznych znaków kontrolnych w nagłówkach żądań HTTP, co umożliwia atak typu header injection. Podatność jest krytyczna, gdyż nie wymaga uwierzytelnienia i może prowadzić do manipulacji danymi przekazywanymi do skryptów CGI.

pub. 2026-03-06
9.1
CVSS
CRITICAL
CVE-2026-11373

Biblioteka Net::Statsite::Client dla języka Perl w wersjach do 1.1.0 nie usuwa znaków nowej linii ani innych znaków sterujących protokołu z nazw metryk i ich wartości, co umożliwia metric injection. Atakujący może manipulować danymi przesyłanymi do serwera statsite, potencjalnie fałszując metryki lub wstrzykując nieautoryzowane dane.

pub. 2026-06-22
9.1
CVSS
CRITICAL
CVE-2026-50638

Metrics::Any::Adapter::DogStatsd versions before 0.04 for Perl does not protect against metric injections. The statsd protocol (and extensions such as dogstatsd) allow mutiple metrics, separated by newlines, to be sent per packet. Metrics::Any::Adapter::DogStatsd which extends Metrics::Any::Adapter::Statsd, which has a similar vulnerability. In addition, the _tags function does not check tags for newlines or statsd control characters. The tags can be used for metric injections.

pub. 2026-06-10
9.1
CVSS
CRITICAL
CVE-2026-9270

Biblioteka DataDog::DogStatsd w wersjach do 0.07 dla języka Perl nie sanityzuje poprawnie danych wejściowych, umożliwiając atakującemu wstrzyknięcie fałszywych metryk (metric injection). Podatność jest krytyczna, ponieważ nie wymaga uwierzytelnienia ani interakcji użytkownika i może zostać wykorzystana zdalnie.

pub. 2026-06-05
8.8
CVSS
HIGH
CVE-2026-5140

Improper neutralization of CRLF sequences ('CRLF injection') vulnerability in TUBITAK BILGEM Software Technologies Research Institute Pardus Update allows Authentication Bypass. This issue affects Pardus Update: from 0.6.3 before 0.6.4.

pub. 2026-04-29
8.8
CVSS
HIGH
CVE-2026-35517

FTLDNS (pihole-FTL) provides an interactive API and also generates statistics for Pi-hole's Web interface. From 6.0 to before 6.6, the Pi-hole FTL engine contains a Remote Code Execution (RCE) vulnerability in the upstream DNS servers configuration parameter (dns.upstreams). This vulnerability allows an authenticated attacker to inject arbitrary dnsmasq configuration directives through newline characters, ultimately achieving command execution on the underlying system. This vulnerability is fixed in 6.6.

pub. 2026-04-07
8.8
CVSS
HIGH
CVE-2026-35518

FTLDNS (pihole-FTL) provides an interactive API and also generates statistics for Pi-hole's Web interface. From 6.0 to before 6.6, the Pi-hole FTL engine contains a Remote Code Execution (RCE) vulnerability in the DNS CNAME records configuration parameter (dns.cnameRecords). This vulnerability allows an authenticated attacker to inject arbitrary dnsmasq configuration directives through newline characters, ultimately achieving command execution on the underlying system. This vulnerability is fixed in 6.6.

pub. 2026-04-07
8.8
CVSS
HIGH
CVE-2026-35519

FTLDNS (pihole-FTL) provides an interactive API and also generates statistics for Pi-hole's Web interface. From 6.0 to before 6.6, the Pi-hole FTL engine contains a Remote Code Execution (RCE) vulnerability in the DNS host record configuration parameter (dns.hostRecord). This vulnerability allows an authenticated attacker to inject arbitrary dnsmasq configuration directives through newline characters, ultimately achieving command execution on the underlying system. This vulnerability is fixed in 6.6.

pub. 2026-04-07
8.8
CVSS
HIGH
CVE-2026-35520

FTLDNS (pihole-FTL) provides an interactive API and also generates statistics for Pi-hole's Web interface. From 6.0 to before 6.6, the Pi-hole FTL engine contains a Remote Code Execution (RCE) vulnerability in the DHCP lease time configuration parameter (dhcp.leaseTime). This vulnerability allows an authenticated attacker to inject arbitrary dnsmasq configuration directives through newline characters, ultimately achieving command execution on the underlying system. This vulnerability is fixed in 6.6.

pub. 2026-04-07
8.8
CVSS
HIGH
CVE-2026-35521

FTLDNS (pihole-FTL) provides an interactive API and also generates statistics for Pi-hole's Web interface. From 6.0 to before 6.6, the Pi-hole FTL engine contains a Remote Code Execution (RCE) vulnerability in the DHCP hosts configuration parameter (dhcp.hosts). This vulnerability allows an authenticated attacker to inject arbitrary dnsmasq configuration directives through newline characters, ultimately achieving command execution on the underlying system. This vulnerability is fixed in 6.6.

pub. 2026-04-07
8.8
CVSS
HIGH
CVE-2025-28357

A CRLF injection vulnerability in Neto CMS v6.313.0 through v6.314.0 allows attackers to execute arbitrary code via supplying a crafted HTTP request.

pub. 2025-10-01
8.8
CVSS
HIGH
CVE-2025-8715

Improper neutralization of newlines in pg_dump in PostgreSQL allows a user of the origin server to inject arbitrary code for restore-time execution as the client operating system account running psql to restore the dump, via psql meta-commands inside a purpose-crafted object name. The same attacks can achieve SQL injection as a superuser of the restore target server. pg_dumpall, pg_restore, and pg_upgrade are also affected. Versions before PostgreSQL 17.6, 16.10, 15.14, 14.19, and 13.22 are affected. Versions before 11.20 are unaffected. CVE-2012-0868 had fixed this class of problem, but version 11.20 reintroduced it.

pub. 2025-08-14
8.8
CVSS
HIGH
CVE-2021-39172

Cachet is an open source status page system. Prior to version 2.5.1, authenticated users, regardless of their privileges (User or Admin), can exploit a new line injection in the configuration edition feature (e.g. mail settings) and gain arbitrary code execution on the server. This issue was addressed in version 2.5.1 by improving `UpdateConfigCommandHandler` and preventing the use of new lines characters in new configuration values. As a workaround, only allow trusted source IP addresses to access to the administration dashboard.

pub. 2021-08-27
8.7
CVSS
HIGH
CVE-2026-12143

form-data is a library for creating readable multipart/form-data streams. In versions through 4.0.5, the `field` argument to `FormData#append` and the `filename` option are concatenated verbatim into the `Content-Disposition` header without escaping carriage return (CR), line feed (LF), or double-quote (") characters. An application that passes attacker-controlled data as a field name or filename (for example, an API gateway that turns JSON object keys into multipart field names) allows the attacker to terminate the header line and inject additional headers, or to smuggle entire additional multipart parts, into the request the application forwards to a backend. This can let the attacker add or override form fields (e.g. set `is_admin=true`) seen by the downstream parser. This is an instance of CWE-93 (CRLF injection). The fix escapes CR, LF, and `"` as `%0D`, `%0A`, and `%22` in field names and filenames, matching the serialization browsers use per the WHATWG HTML multipart/form-data encoding algorithm. Exploitation requires the consuming application to use untrusted input as a field name or filename; applications that use only fixed/trusted field names are not affected. Fixed in 2.5.6, 3.0.5, and 4.0.6.

pub. 2026-06-12
Pokazano 20 z 188 podatności
Informacje
ID: CWE-93
Typ: Base
Podatności: 188
MITRE CWE ↗
← Słownik CWE
CWE-93 — Niewłaściwa neutralizacja sekwencji CRLF ('Wstrzykiwanie CRLF') | Słownik CWE | CVEbaza.pl