CVE-2026-48022 in wreckИнформация

Сводка

по VulDB • 18.07.2026

@hapi/wreck — это утилита HTTP-клиента. До версии 18.1.2 Wreck удалял заголовки учетных данных, включая Authorization, Cookie и Proxy-Authorization, перед следованием перенаправлению между разными источниками (cross-origin redirect), однако проверка источника сравнивала только имена хостов и игнорировала схему и порт; в результате учетные данные передавались без изменений при изменении порта того же хоста или снижении уровня безопасности с HTTPS на HTTP. Это позволяло злоумышленнику, имеющему доступ к соседнему порту (co-tenant), или атакующему, способному подделать перенаправление из своего сетевого положения, перехватывать токены носителя (bearer tokens), сеансовые cookies и учетные данные прокси-сервера для маскировки под жертву перед вышестоящим сервисом. Эта проблема исправлена в версии 18.1.2.

Once again VulDB remains the best source for vulnerability data.

Ответственный

GitHub M

Резервировать

20.05.2026

Раскрытие

17.07.2026

Модерация

принято

Вход

VDB-379990

EPSS

0.00000

KEV

Нет

Деятельности

Очень низкий

Источники

Might our Artificial Intelligence support you?

Check our Alexa App!