CVE-2026-33637 in faraday
요약
\~에 의해 VulDB • 2026. 05. 19.
Faraday는 여러 어댑터 위에 공통 인터페이스를 제공하는 HTTP 클라이언트 라이브러리 추상화 레이어입니다. 버전 2.0.0부터 2.14.1까지의 버전에서는 요청 대상이 문자열(String)이 아닌 URI 객체로 Faraday::Connection#build_exclusive_url에 전달될 때 프로토콜 상대적 호스트 오버라이드가 여전히 가능합니다. 이는 GHSA-33mh-2634-fwr2에 대한 2026년 2월 수정 사항을 우회하며, 오프-호스트 요청 위조를 가능하게 합니다. 즉, 고정된 베이스를 가진 Faraday::Connection에서 생성된 요청이 공격자가 제어하는 호스트로 리디렉션되어 Authorization 헤더 및 기본 쿼리 파라미터와 같은 연결 범위 값이 전달될 수 있습니다. 이 문제는 버전 2.14.3에서 수정되었습니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.