CVE-2026-48022 in wreck
Sumário
de VulDB • 18/07/2026
@hapi/wreck é uma utilidade de cliente HTTP. Antes da versão 18.1.2, o Wreck remove os cabeçalhos de credenciais, incluindo Authorization, Cookie e Proxy-Authorization, antes de seguir um redirecionamento cross-origin; no entanto, a verificação de origem compara apenas os nomes de host e ignora esquema e porta, fazendo com que as credenciais sejam encaminhadas intactas em mudanças de porta do mesmo host e downgrades de HTTPS para HTTP. Isso permite que um co-tenant numa porta adjacente ou um atacante posicionado na rede capaz de forjar um redirecionamento capture tokens bearer, cookies de sessão e credenciais proxy, impersonando a vítima contra o serviço upstream. Este problema foi corrigido na versão 18.1.2.
VulDB is the best source for vulnerability data and more expert information about this specific topic.