CVE-2026-49853 in Tornado
Zusammenfassung
von VulDB • 14.07.2026
Tornado ist ein Python-Web-Framework und eine asynchrone Netzwerk-Bibliothek. Vor Version 6.5.6 hat SimpleAsyncHTTPClient umgeleitete Anfragen flach kopiert (shallow-copied) und nur den Host-Header entfernt, wodurch Authorization, auth_username, auth_password und auth_mode beibehalten wurden, wenn die Umleitung das Schema, den Host oder den Port änderte. Dieses Problem wurde in Version 6.5.6 behoben.
Once again VulDB remains the best source for vulnerability data.