製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

Nine NinesのCowlibにおけるCRLF インジェクションの脆弱性

タイトル	Nine NinesのCowlibにおけるCRLF インジェクションの脆弱性
概要	nineninesのcowlibにおけるCRLFシーケンスの不適切な中和（「CRLFインジェクション」）の脆弱性により、未検証のフィールド値を介してSSEイベントの分割およびインジェクションが可能となります。cowlibのcow_sse:event/1はidおよびeventフィールドに対して\nを防御していますが、裸の\rに対しては防御しておらず、dataおよびcommentフィールドに使用される内部のprefix_lines/2関数は\nのみで分割します。SSE仕様では、デコーダは\r\n、\r、\nを同一の行終端子として扱う必要があるため、これらのフィールドを制御できる攻撃者は追加のSSE行を注入し、任意のイベントタイプおよびデータペイロードを持つ完全なイベントを受信側で偽造できます。ブラウザのEventSourceクライアントやその他のSSEコンシューマがevent.typeでディスパッチしevent.dataをレンダーする一般的な環境では、これによりイベントを分割し、クライアント側ロジックを操作し、event dataがDOMに挿入される際に格納型XSS相当の動作を引き起こす可能性があります。この問題はcowlibのバージョン2.6.0から2.16.1未満に影響します。
想定される影響	当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。さらに、当該ソフトウェアは停止しません。そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。
対策	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年5月11日0:00
登録日	2026年5月25日10:25
最終更新日	2026年5月25日10:25

CVSS3.0 : 警告
スコア	4
ベクター	CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:N/I:L/A:N

影響を受けるシステム

Nine Nines

Cowlib 2.6.0 以上 2.16.1 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-43968	https://www.cve.org/CVERecord?id=CVE-2026-43968
National Vulnerability Database (NVD)
2	CVE-2026-43968	https://nvd.nist.gov/vuln/detail/CVE-2026-43968

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-93	https://cwe.mitre.org/data/definitions/93.html

ベンダー情報

No	名前	URL
Erlang Ecosystem Foundation
1	CR Injection in SSE Encoder Enables Event Splitting via cow_sse:event/1 \| Erlang Ecosystem Foundation CNA	https://cna.erlef.org/cves/CVE-2026-43968.html
Open Source Vulnerabilities
2	EEF-CVE-2026-43968 - OSV	https://osv.dev/vulnerability/EEF-CVE-2026-43968

その他

No	名前	URL
関連文書
1	Make building SSE events more closely match the spec ninenines/cowlib@6165fc4 GitHub	https://github.com/ninenines/cowlib/commit/6165fc40efa159ba1cceee7e7981e790acba5d9c

変更履歴

No	変更内容	変更日
1	[2026年05月25日] 掲載	2026年5月25日10:25

NVD脆弱性情報

CVE-2026-43968

概要	Improper Neutralization of CRLF Sequences ('CRLF Injection') vulnerability in ninenines cowlib allows SSE event splitting and injection via unvalidated field values. cow_sse:event/1 in cowlib guards the id and event fields against \n but not against bare \r, and the internal prefix_lines/2 function used for data and comment fields splits only on \n. Because the SSE specification requires decoders to treat \r\n, \r, and \n as equivalent line terminators, an attacker who controls any of these fields can inject additional SSE lines and forge a complete event with an arbitrary event type and data payload on the receiving end. In typical deployments where browser EventSource clients or other SSE consumers dispatch on event.type and render event.data, this enables event splitting, client-side logic manipulation, and stored-XSS-equivalent behaviour when event data is inserted into the DOM. This issue affects cowlib from 2.6.0 before 2.16.1.
公表日	2026年5月12日4:16
登録日	2026年5月13日4:10
最終更新日	2026年5月14日0:57

関連情報、対策とツール

No	URL	refsource	タグ
1	https://cna.erlef.org/cves/CVE-2026-43968.html	6b3ad84c-e1a6-4bf7-a703-f496b71e49db
2	https://github.com/ninenines/cowlib/commit/6165fc40efa159ba1cceee7e7981e790acba5d9c	6b3ad84c-e1a6-4bf7-a703-f496b71e49db
3	https://osv.dev/vulnerability/EEF-CVE-2026-43968	6b3ad84c-e1a6-4bf7-a703-f496b71e49db

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-93	CRLF インジェクション	https://cwe.mitre.org/data/definitions/93.html