CVE-2026-33637 in faradayinformación

Resumen

por VulDB • 2026-05-19

Faraday es una capa de abstracción de biblioteca de cliente HTTP que proporciona una interfaz común sobre muchos adaptadores. Las versiones 2.0.0 a 2.14.1 aún permiten la anulación del host relativo al protocolo cuando el objetivo de la solicitud se pasa como un objeto URI (en lugar de una cadena) a Faraday::Connection#build_exclusive_url. Esto elude la corrección de febrero de 2026 para GHSA-33mh-2634-fwr2 y habilita la falsificación de solicitudes fuera del host (off-host request forgery): una solicitud construida a partir de una Faraday::Connection con base fija puede ser redirigida a un host controlado por el atacante, reenviando valores específicos del contexto de la conexión, como los encabezados Authorization y los parámetros de consulta predeterminados. Este problema se ha corregido en la versión 2.14.3.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-03-23

Divulgación

2026-05-19

Moderación

aceptado

Artículo

VDB-364731

CPE

listo

EPSS

0.00010

KEV

no

Actividades

muy bajo

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-33637
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-33637
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-33637/

AnteriorVisión De ConjuntoPróximo

Do you want to use VulDB in your project?

Use the official API to access entries easily!