Un tuto simple parlant de l''injection CRLF avec les loggers en Kotlin/Java.

Penser à ajouter la dépendance suivante pour se prémunir de cela avec LogBack :

<dependency>
    <groupId>org.owasp</groupId>
    <artifactId>security-logging-logback</artifactId>
    <version>1.1.6</version>
</dependency>

(à voir avec ce que propose la 1.4.4 de LogBack sortie récemment).

Edit
Une autre façon de se protéger du problème est de se servir de la fonction replace de logback en lui demandant d'effectuer un search & replace de tous les caractères de type CR/LF by une chaîne connue (ici {EOL}) qui permettra de détecter l'injection de nouvelles lignes dans les logs :

<included>
    <appender name="STDOUT" class="ch.qos.logback.core.ConsoleAppender">
        <encoder>
            <pattern>%replace(%msg){'[\r\n]', '{EOL}'}</pattern>
        </encoder>
    </appender>
    <root level="INFO">
        <appender-ref ref="STDOUT" />
    </root>
</included>