| Title | Nine NinesのCowlibにおけるCRLF インジェクションの脆弱性 |
|---|---|
| Summary | nineninesのcowlibにおけるCRLFシーケンスの不適切な中和(「CRLFインジェクション」)の脆弱性により、未検証のフィールド値を介してSSEイベントの分割およびインジェクションが可能となります。cowlibのcow_sse:event/1はidおよびeventフィールドに対して\nを防御していますが、裸の\rに対しては防御しておらず、dataおよびcommentフィールドに使用される内部のprefix_lines/2関数は\nのみで分割します。SSE仕様では、デコーダは\r\n、\r、\nを同一の行終端子として扱う必要があるため、これらのフィールドを制御できる攻撃者は追加のSSE行を注入し、任意のイベントタイプおよびデータペイロードを持つ完全なイベントを受信側で偽造できます。ブラウザのEventSourceクライアントやその他のSSEコンシューマがevent.typeでディスパッチしevent.dataをレンダーする一般的な環境では、これによりイベントを分割し、クライアント側ロジックを操作し、event dataがDOMに挿入される際に格納型XSS相当の動作を引き起こす可能性があります。この問題はcowlibのバージョン2.6.0から2.16.1未満に影響します。 |
| Possible impacts | 当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。 |
| Solution | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | May 11, 2026, midnight |
| Registration Date | May 25, 2026, 10:25 a.m. |
| Last Update | May 25, 2026, 10:25 a.m. |
| CVSS3.0 : 警告 | |
| Score | 4 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:N/I:L/A:N |
| Nine Nines |
| Cowlib 2.6.0 以上 2.16.1 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年05月25日] 掲載 |
May 25, 2026, 10:25 a.m. |
| Summary | Improper Neutralization of CRLF Sequences ('CRLF Injection') vulnerability in ninenines cowlib allows SSE event splitting and injection via unvalidated field values. cow_sse:event/1 in cowlib guards the id and event fields against \n but not against bare \r, and the internal prefix_lines/2 function used for data and comment fields splits only on \n. Because the SSE specification requires decoders to treat \r\n, \r, and \n as equivalent line terminators, an attacker who controls any of these fields can inject additional SSE lines and forge a complete event with an arbitrary event type and data payload on the receiving end. In typical deployments where browser EventSource clients or other SSE consumers dispatch on event.type and render event.data, this enables event splitting, client-side logic manipulation, and stored-XSS-equivalent behaviour when event data is inserted into the DOM. This issue affects cowlib from 2.6.0 before 2.16.1. |
|---|---|
| Publication Date | May 12, 2026, 4:16 a.m. |
| Registration Date | May 13, 2026, 4:10 a.m. |
| Last Update | May 14, 2026, 12:57 a.m. |