CVE-2026-33637 in faradayinformação

Sumário

de VulDB • 19/05/2026

Faraday é uma camada de abstração de biblioteca de cliente HTTP que fornece uma interface comum sobre vários adaptadores. As versões 2.0.0 a 2.14.1 ainda permitem a substituição do host relativo ao protocolo quando o alvo da solicitação é passado como um objeto URI (em vez de uma String) para Faraday::Connection#build_exclusive_url. Isso contorna a correção de fevereiro de 2026 para GHSA-33mh-2634-fwr2 e permite a falsificação de solicitação off-host: uma solicitação construída a partir de uma Faraday::Connection com base fixa pode ser redirecionada para um host controlado pelo atacante, encaminhando valores escopados à conexão, como cabeçalhos Authorization e parâmetros de consulta padrão. Este problema foi corrigido na versão 2.14.3.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

23/03/2026

Divulgação

19/05/2026

Moderação

aceite

Entrada

VDB-364731

CPE

pronto

EPSS

0.00010

KEV

não

Atividades

muito baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-33637
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-33637
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-33637/

VoltarVisão GeralPróximo

Want to know what is going to be exploited?

We predict KEV entries!