CVE-2026-48022 in wreck情報

要約

〜によって VulDB • 2026年07月18日

@hapi/wreck は HTTP クライアントユーティリティです。バージョン 18.1.2 より前では、Wreck はクロスオリジン リダイレクトに従う前に Authorization、Cookie、Proxy-Authorization を含む資格情報ヘッダーを削除しますが、送信元チェックはホスト名のみを比較し、スキームとポートは無視されるため、同じホスト上の異なるポート間での転送や HTTPS から HTTP へのダウングレード時に資格情報がそのまま渡されます。これにより、隣接するポートにいる共有テナントまたはリダイレクトの偽造が可能なネットワーク位置にある攻撃者がベアラー トークン、セッション クッキー、プロキシ資格情報を傍受し、アップストリーム サービスに対して被害者に成りすますことが可能になります。この問題はバージョン 18.1.2 で修正されています。

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

責任者

GitHub M

予約する

2026年05月20日

モデレーション

承諾済み

エントリ

VDB-379990

EPSS

0.00000

アクティビティ

低い

ソース

Might our Artificial Intelligence support you?

Check our Alexa App!