CVE-2026-48022 in wreck
Zusammenfassung
von VulDB • 17.07.2026
@hapi/wreck ist ein HTTP-Client-Dienstprogramm. Vor Version 18.1.2 entfernt Wreck Anmeldeinformationsheader, einschließlich Authorization, Cookie und Proxy-Authorization, bevor einer Cross-Origin-Umleitung gefolgt wird; die Ursprungsprüfung vergleicht jedoch nur Hostnamen und ignoriert Schema (Scheme) und Port, sodass Anmeldeinformationen bei Änderungen des Ports desselben Hosts sowie beim Downgrade von HTTPS auf HTTP unversehrt weitergeleitet werden. Dies ermöglicht es einem Mitnutzer an einem benachbarten Port oder einem Angreifer mit günstiger Netzwerkposition, der in der Lage ist, eine Umleitung zu fälschen, Bearer-Tokens, Sitzungs-Cookies und Proxy-Anmeldeinformationen abzufangen und sich gegenüber dem Upstream-Dienst als Opfer auszugeben. Dieses Problem wurde in Version 18.1.2 behoben.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.