Gakido CRLF Injection Vulnerability Let Attackers Bypass Security Controls
2026/02/02 CyberSecurityNews — Happy Hacking Space が提供する HTTP クライアント・ライブラリ Gakido に、任意の HTTP ヘッダ注入を可能とする深刻な脆弱性 CVE-2026-24489 (Medium) が発見された。この HTTP ヘッダ注入は、CRLF (Carriage Return Line Feed) シーケンスを通じて実行されるものであり、Gakido のバージョン 0.1.1-1bc6019 未満に影響を及ぼす。
この脆弱性を悪用する攻撃者は、サーバ・サイドのセキュリティ制御を回避し、キャッシュ汚染を引き起こし、細工されたヘッダ注入攻撃を通じて HTTP レスポンスを操作する。
この脆弱性は、Gakido のヘッダ処理ロジックを担う “gakido/headers.py” 内の canonicalize_headers() 関数に起因する。
CRLF シーケンス “\r\n”、改行文字 “\n”、NULL バイト ( \x00 ) を含むユーザー制御のヘッダ値が、アプリケーションから Gakido のリクエスト・メソッドに渡され、HTTP リクエストが送信されるときに、それらの値は適切にサニタイズされない。
この不十分な入力検証を突く攻撃者は、正規リクエスト内への任意の HTTP ヘッダの注入が可能となるため、HTTP 通信の完全性が根本的に損なわれる。この悪用が成功すると、複数の攻撃ベクターが成立するため、各種のビジネスに大きな影響が生じる。
具体的には、悪意のヘッダをリクエストに追加することで、プロキシ・コンフィグにおけるヘッダ注入が引き起こされ、HTTP レスポンスが操作される。また、キャッシュ制御関連ヘッダを注入することで、中間キャッシュの汚染が発生する。
さらに、セッション関連ヘッダを注入することで、セッション固定化攻撃が実行されるため、リソース保護のために設計されたサーバ・サイドのセキュリティ制御の回避が可能になる。
アプリケーションが、ユーザー入力を HTTP ヘッダとして受け付け、適切な検証を行っていないシナリオにおいて、この脆弱性は特に危険である。以下の PoC コードが示すのは、きわめて悪用が容易な点である。
Before fix: X-Injected header would be sent as a separate headerc = Client(impersonate="chrome_120")r = c.get("https://httpbin.org/headers", headers={ "User-Agent": "test\r\nX-Injected: pwned"})impersonate を有効化した Gakido クライアントを生成し、CRLF シーケンスに続いて悪意ある X-Injected ヘッダを含む User-Agent ヘッダを渡すことで、ライブラリ経由で送信される HTTP リクエストに不正なヘッダが注入される。
脆弱性サマリ
この脆弱性は、2026年1月25日に報告され、2026年1月27日に公開された。したがって、開発チームに与えられた公知前の準備期間は、きわめて短いものとなった。
すでに Gakido セキュリティ・チームは、修正済みバージョン 0.1.1-1bc6019 をリリースし、この問題に迅速に対応した。この修正バージョンは、プロジェクトの GitHub リポジトリから入手できる。Gakido ユーザーにとって必要なことは、修正済みバージョンへと速やかにアップグレードし、ヘッダ注入攻撃のリスクを軽減することだ。
本番環境で Gakido を利用して機微な HTTP 通信を扱う組織や、ユーザー提供のヘッダ値を受け付けるアプリケーションを運用している組織は、最優先でアップデートを適用すべきだと、Rosecurify のアドバイザリは指摘している。
この脆弱性が示すのは、HTTP クライアント・ライブラリにおける入力サニタイズの重要性である。また、外部ライブラリを利用して、ネットワーク通信プリミティブを扱う際に、セキュリティ研究者が慎重であるべき理由を提示している。
追加の技術的詳細および完全な修正実装は、公式 GitHub アドバイザリ (GHSA-gcgx-chcp-hxp9) および、リポジトリ内の対応コミット (369c67e) で公開されている。
この問題の原因は、プログラムが外部から受け取った文字を “ただのデータ” としてではなく、通信のルールを決める “制御命令” として、誤って解釈してしまったことにあります。具体的には、Gakido というライブラリの中で、改行を意味する CRLF “\r\n” などの特殊な文字を取り除く処理が漏れていました。この脆弱性 CVE-2026-24489 を悪用する攻撃者は、入力した改行コードを通信プロトコルに紛れ込ませ、本来は存在しないはずの偽のヘッダを追加できる状態を作り出していました。こうした “入力値の確認不足” が、セッションの乗っ取りやキャッシュの汚染といった、深刻なトラブルを招くきっかけとなります。ご利用のチームは、ご注意ください。よろしければ、Python での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.