CVE-2026-48022 in wreckالمعلومات

الملخص

بحسب VulDB • 17/07/2026

@hapi/wreck هو أداة عميل HTTP. قبل الإصدار 18.1.2، كان Wreck يقوم بإزالة رؤوس المصادقة بما في ذلك Authorization وCookie وProxy-Authorization قبل اتباع إعادة التوجيه عبر النطاقات (cross-origin redirect)، لكن فحص المصدر يقارن أسماء النطاقات فقط ويتجاهل البروتوكول والمنفذ، مما يؤدي إلى إرسال بيانات الاعتماد كما هي عند تغيير المنافذ على نفس المضيف وعند التخفيض من HTTPS إلى HTTP. وهذا يتيح لمشارك في الخادم (co-tenant) على منفذ مجاور أو مهاجم قادر على التلاعب بإعادة التوجيه بناءً على موقعه الشبكي اعتراض رموز الحامل (bearer tokens)، وملفات تعريف الارتباط للجلسات، وبيانات اعتماد الوكيل الوسيط، والتظاهر باسم الضحية أمام الخدمة الخلفية. تم إصلاح هذه المشكلة في الإصدار 18.1.2.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

مسؤول

GitHub M

حجز

20/05/2026

إفشاء

17/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379990

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

المصادر

Want to know what is going to be exploited?

We predict KEV entries!