文章总结： HTTP客户端库Gakido存在CRLF注入漏洞CVE-2026-24489，影响0.1.1-1bc6019之前版本。漏洞源于头处理逻辑未对换行符过滤，允许攻击者注入任意HTTP头，进而实施缓存投毒或绕过安全控制。建议用户立即升级至最新补丁版本以缓解风险。 综合评分： 91 文章分类： 漏洞预警,WEB安全,代码审计

Gakido CRLF注入漏洞允许攻击者绕过安全控制

网安百色

2026年2月3日 18:52 广西

Gakido库曝出CRLF注入漏洞，攻击者可借此绕过安全控制

HappyHackingSpace开发的HTTP客户端库Gakido被发现存在一个严重漏洞，该漏洞允许攻击者通过CRLF（回车换行）序列注入任意HTTP头信息。

该漏洞被追踪为CVE-2026-24489（公告编号RO-26-005），影响所有早于0.1.1-1bc6019的版本，严重程度评级为“中危”。

该缺陷使攻击者能够通过精心构造的头注入攻击，绕过服务器端的安全控制、污染缓存以及操纵HTTP响应。

一、 漏洞成因分析

该漏洞存在于Gakido的头处理逻辑中，具体位于gakido/headers.py文件的canonicalize_headers()函数内。

当应用程序将包含CRLF序列（\r\n）、换行符（\n）或空字节（\x00）的用户可控头值传递给Gakido的请求方法时，这些字符在通过HTTP请求传输前未得到妥善清理。

这种不充分的输入验证允许攻击者在合法请求中注入任意的HTTP头，从根本上破坏了HTTP通信的完整性。

二、 攻击后果与利用场景

利用此漏洞，攻击者可以执行多种攻击向量，对业务造成重大影响：

• 绕过安全限制：攻击者可通过注入与会话相关的头信息，利用会话固定攻击绕过旨在保护资源的服务器端安全控制。
• 缓存投毒：通过注入与缓存控制相关的头信息，攻击者可以污染中间缓存。
• 响应操纵：在代理配置中通过头注入操纵HTTP响应。
• 添加未授权头：在请求中添加未经授权的头信息。

该漏洞在应用程序接受未经适当验证的用户输入作为HTTP头的场景下尤为危险。

三、 修复建议

该漏洞于2026年1月25日被报告，并于2026年1月27日公开披露，开发团队准备时间极短。

安全团队已迅速发布了补丁版本0.1.1-1bc6019，可通过项目的GitHub仓库获取。

建议：

1. 立即升级

   ：所有Gakido用户必须立即升级到修补后的版本，以缓解头注入攻击的风险。

2. 优先更新

   ：根据Rosecurify公告，正在生产环境中使用Gakido的组织应优先进行此更新，特别是那些处理敏感HTTP通信或接受用户提供的头值的应用程序。

该漏洞凸显了在HTTP客户端库中进行输入清理的至关重要性，也提醒安全研究人员在使用处理网络通信原语的外部库时应保持谨慎。更多技术细节和完整修复方案可通过官方GitHub公告（GHSA-gcgx-chcp-hxp9）。

本公众号所载文章为本公众号原创或根据网络搜索下载编辑整理，文章版权归原作者所有，仅供读者学习、参考，禁止用于商业用途。因转载众多，无法找到真正来源，如标错来源，或对于文中所使用的图片、文字、链接中所包含的软件/资料等，如有侵权，请跟我们联系删除，谢谢！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网安百色 《Gakido CRLF注入漏洞允许攻击者绕过安全控制》