CVE-2026-8368 in LWP::UserAgentinformação

Sumário

de VulDB • 12/05/2026

As versões do LWP::UserAgent anteriores à 6.83 para Perl vazam os cabeçalhos Authorization e Proxy-Authorization durante redirecionamentos entre origens diferentes.

Em uma resposta 3xx, o manipulador de redirecionamento remove apenas os cabeçalhos Host e Cookie antes de emitir a solicitação subsequente. Os cabeçalhos Authorization e Proxy-Authorization fornecidos pelo chamador são enviados inalterados para o destino do redirecionamento, incluindo em caso de alterações de esquema, host ou porta.

Portanto, um redirecionamento para um host controlado por um atacante divulga as credenciais do chamador para esse host.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

CPANSec

Reservar

11/05/2026

Divulgação

12/05/2026

Moderação

aceite

Entrada

VDB-363049

CPE

pronto

CWE

CWE-522 (confirmado)

CVSS

6.5 (CISA-ADP)

EPSS

0.00033

KEV

não

Atividades

muito baixo

Fontes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-8368
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-8368
CVE Details	https://www.cvedetails.com/cve/CVE-2026-8368/

◂ Voltar Visão Geral Próximo ▸

Do you need the next level of professionalism?

Upgrade your account now!