Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Pitchfork (CVE-2025-30221)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-113 Neutralización incorrecta de secuencias CRLF en cabeceras HTTP (División de respuesta HTTP)
Fecha de publicación:
27/03/2025
Última modificación:
27/03/2025

Descripción

Pitchfork es un servidor HTTP prebifurcado para aplicaciones Rack. Las versiones anteriores a la 0.11.0 son vulnerables a la inyección de encabezados de respuesta HTTP al usarse con Rack 3. El problema se solucionó en la versión 0.11.0 de Pitchfork. No se conocen workarounds.