guzzlehttp/psr7: CRLF Injection in HTTP Start-Line Serialization

La biblioteca guzzlehttp/psr7 permite que atacantes inyecten caracteres de salto de línea (CR/LF) en el método HTTP, versión del protocolo o frase de razón de la respuesta. Cuando estos mensajes se serializan y se envían por la red, los saltos de línea inyectados pueden crear encabezados HTTP falsos, engañando a servidores o proxies.

CWE-113 (Neutralización Inadecuada de Secuencias CRLF en Encabezados HTTP) y CWE-93 (Neutralización Inadecuada de Secuencias CRLF en Línea de Inicio HTTP) permiten inyección de CRLF a través de datos controlados por el atacante en los campos de método de solicitud, versión de protocolo o frase de razón. La vulnerabilidad se manifiesta cuando un mensaje PSR-7 que contiene valores malformados en la línea de inicio se serializa mediante Message::toString() o equivalente y se transmite; sistemas posteriores que no validan independientemente la línea inicial HTTP pueden procesar encabezados inyectados. La explotación requiere tanto la creación del mensaje con entrada del atacante como la serialización y transmisión posteriores.