← voltar
CVE-2026-55766

guzzlehttp/psr7: CRLF Injection in HTTP Start-Line Serialization

CVSS 4.8 MEDIUMCWE-113CWE-93
Em resumo

A biblioteca guzzlehttp/psr7 permite que invasores injetem caracteres de quebra de linha (CR/LF) no método HTTP, versão do protocolo ou frase de motivo da resposta. Quando essas mensagens são serializadas e enviadas pela rede, as quebras de linha injetadas podem criar cabeçalhos HTTP falsos, enganando servidores ou proxies.

Detalhe técnico

CWE-113 (Neutralização Imprópria de Sequências CRLF em Cabeçalhos HTTP) e CWE-93 (Neutralização Imprópria de Sequências CRLF na Linha de Início HTTP) permitem injeção de CRLF através de dados controlados pelo invasor nos campos de método de requisição, versão do protocolo ou frase de motivo. A vulnerabilidade se manifesta quando uma mensagem PSR-7 contendo valores malformados na linha de início é serializada via Message::toString() ou equivalente e transmitida; sistemas subsequentes que não validam independentemente a linha inicial HTTP podem processar cabeçalhos injetados. A exploração requer tanto a criação da mensagem com entrada do invasor quanto a serialização e transmissão subsequentes.

Resumo gerado e traduzido por IA a partir da descrição oficial.
guzzlehttp/psr7 is a PSR-7 HTTP message library implementation in PHP. Prior to 2.12.1, guzzlehttp/psr7 did not reject CR/LF characters in certain first-party HTTP start-line fields: the request method, protocol version, and response reason phrase. If an application placed attacker-controlled data into one of those fields and later serialized the PSR-7 message as raw HTTP/1.x, for example with Message::toString() or an equivalent serializer, the serialized message could contain attacker-controlled header lines. The issue can also be reached through Message::parseRequest() or Message::parseResponse() when malformed raw messages are parsed into first-party PSR-7 objects and then serialized again. Creating or modifying a Request, Response, or other PSR-7 object alone is not sufficient. The issue requires the malformed message to be serialized and written to the network, forwarded, replayed, or otherwise processed by software that does not independently reject the malformed start line. This vulnerability is fixed in 2.12.1.
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N
Produtos afetados
guzzle · psr7

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://github.com/guzzle/psr7/security/advisories/GHSA-vm85-hxw5-5432