CVE-2016-3166

Medium

CRLF injection vulnerability in the drupal_set_header function in Drupal 6.x before 6.38, when used with PHP before 5.1.2, allows remote…

mitre·NVD-CWE-Other·Published 2016-04-12

CVSS

5.9

EPSS

0.01

KEV

Exploits

Vendor statements (1)

debian.org

cve.orgen

305 chars

CRLF injection vulnerability in the drupal_set_header function in Drupal 6.x before 6.38, when used with PHP before 5.1.2, allows remote attackers to inject arbitrary HTTP headers and conduct HTTP response splitting attacks by leveraging a module that allows user-submitted data to appear in HTTP headers.

OSV.deven

305 chars

GHSAen

305 chars

NVDes

390 chars

Vulnerabilidad de inyección CRLF en la función drupal_set_header en Drupal 6.x en versiones anteriores a 6.38, cuando se utiliza con PHP en versiones anteriores a 5.1.2, permite a atacantes remotos inyectar cabeceras HTTP arbitrarias y llevar a cabo ataques de división de respuesta HTTP aprovechando un módulo que permite que los datos enviados por usuraio aparezcan en las cabeceras HTTP.

CVSS metrics across sources

Version	Type	Source	Base	Exp	Impact	Vector
2.0	Primary	NVD	4.3	8.6	2.9	AV:N/AC:M/Au:N/C:N/I:P/A:N
3.0	Primary	NVD	5.9	2.2	3.6	CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N
3.1	Secondary	GHSA	5.9	—	—	CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N