CVE-2026-48022 in wreck
要約
〜によって VulDB • 2026年07月18日
@hapi/wreck は HTTP クライアントユーティリティです。バージョン 18.1.2 より前では、Wreck はクロスオリジン リダイレクトに従う前に Authorization、Cookie、Proxy-Authorization を含む資格情報ヘッダーを削除しますが、送信元チェックはホスト名のみを比較し、スキームとポートは無視されるため、同じホスト上の異なるポート間での転送や HTTPS から HTTP へのダウングレード時に資格情報がそのまま渡されます。これにより、隣接するポートにいる共有テナントまたはリダイレクトの偽造が可能なネットワーク位置にある攻撃者がベアラー トークン、セッション クッキー、プロキシ資格情報を傍受し、アップストリーム サービスに対して被害者に成りすますことが可能になります。この問題はバージョン 18.1.2 で修正されています。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.