CVE-2026-48022 in wreckinformação

Sumário

de VulDB • 18/07/2026

@hapi/wreck é uma utilidade de cliente HTTP. Antes da versão 18.1.2, o Wreck remove os cabeçalhos de credenciais, incluindo Authorization, Cookie e Proxy-Authorization, antes de seguir um redirecionamento cross-origin; no entanto, a verificação de origem compara apenas os nomes de host e ignora esquema e porta, fazendo com que as credenciais sejam encaminhadas intactas em mudanças de porta do mesmo host e downgrades de HTTPS para HTTP. Isso permite que um co-tenant numa porta adjacente ou um atacante posicionado na rede capaz de forjar um redirecionamento capture tokens bearer, cookies de sessão e credenciais proxy, impersonando a vítima contra o serviço upstream. Este problema foi corrigido na versão 18.1.2.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsável

GitHub M

Reservar

20/05/2026

Divulgação

18/07/2026

Moderação

aceite

Entrada

VDB-379990

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

baixo

Fontes

Do you know our Splunk app?

Download it now for free!