CVE-2026-48022 in wreck정보

요약

\~에 의해 VulDB • 2026. 07. 17.

@hapi/wreck는 HTTP 클라이언트 유틸리티입니다. 버전 18.1.2 이전의 Wreck는 크로스 오리진 리디렉션으로 이동하기 전에 Authorization, Cookie 및 Proxy-Authorization를 포함한 자격 증명 헤더를 제거하지만, 원본 확인은 호스트명만 비교하고 스키마와 포트를 무시하므로 자격 증명이 동일한 호스트 내 포트 변경 시나 HTTPS에서 HTTP로의 다운그레이드 상황에서도 그대로 전달됩니다. 이로 인해 인접한 포트의 공동 사용자 또는 리디렉션을 위조할 수 있는 네트워크 위치 기반 공격자가 Bearer 토큰, 세션 쿠키 및 프록시 자격 증명을 탈취하여 업스트림 서비스에 대해 피해자를 사칭할 수 있습니다. 이 문제는 버전 18.1.2에서 수정되었습니다.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

책임이 있는

GitHub M

예약하다

2026. 05. 20.

모더레이션

수락

항목

VDB-379990

EPSS

0.00000

출처

Do you want to use VulDB in your project?

Use the official API to access entries easily!