Vulnerability Details CVE-2026-40562
Gazelle versions through 0.49 for Perl allows HTTP Request Smuggling via Improper Header Precedence.
Gazelle incorrectly prioritizes "Content-Length" over "Transfer-Encoding: chunked" when both headers are present in an HTTP request. Per RFC 7230 3.3.3, Transfer-Encoding must take precedence.
An attacker could exploit this to smuggle malicious HTTP requests via a front-end reverse proxy.
Exploit prediction scoring system (EPSS) score
EPSS Score 0.0
EPSS Ranking 12.8%
CVSS Severity
CVSS v3 Score 7.5
References
Products affected by CVE-2026-40562
-
cpe:2.3:a:kazeburo:gazelle:0.01
-
cpe:2.3:a:kazeburo:gazelle:0.02
-
cpe:2.3:a:kazeburo:gazelle:0.03
-
cpe:2.3:a:kazeburo:gazelle:0.04
-
cpe:2.3:a:kazeburo:gazelle:0.05
-
cpe:2.3:a:kazeburo:gazelle:0.06
-
cpe:2.3:a:kazeburo:gazelle:0.07
-
cpe:2.3:a:kazeburo:gazelle:0.08
-
cpe:2.3:a:kazeburo:gazelle:0.10
-
cpe:2.3:a:kazeburo:gazelle:0.11
-
cpe:2.3:a:kazeburo:gazelle:0.12
-
cpe:2.3:a:kazeburo:gazelle:0.20
-
cpe:2.3:a:kazeburo:gazelle:0.21
-
cpe:2.3:a:kazeburo:gazelle:0.22
-
cpe:2.3:a:kazeburo:gazelle:0.23
-
cpe:2.3:a:kazeburo:gazelle:0.25
-
cpe:2.3:a:kazeburo:gazelle:0.30
-
cpe:2.3:a:kazeburo:gazelle:0.31
-
cpe:2.3:a:kazeburo:gazelle:0.32
-
cpe:2.3:a:kazeburo:gazelle:0.33
-
cpe:2.3:a:kazeburo:gazelle:0.34
-
cpe:2.3:a:kazeburo:gazelle:0.35
-
cpe:2.3:a:kazeburo:gazelle:0.36
-
cpe:2.3:a:kazeburo:gazelle:0.37
-
cpe:2.3:a:kazeburo:gazelle:0.38
-
cpe:2.3:a:kazeburo:gazelle:0.39
-
cpe:2.3:a:kazeburo:gazelle:0.40
-
cpe:2.3:a:kazeburo:gazelle:0.41
-
cpe:2.3:a:kazeburo:gazelle:0.42
-
cpe:2.3:a:kazeburo:gazelle:0.43
-
cpe:2.3:a:kazeburo:gazelle:0.44
-
cpe:2.3:a:kazeburo:gazelle:0.45
-
cpe:2.3:a:kazeburo:gazelle:0.46
-
cpe:2.3:a:kazeburo:gazelle:0.47
-
cpe:2.3:a:kazeburo:gazelle:0.48
-
cpe:2.3:a:kazeburo:gazelle:0.49