CVE-2026-48022 in wreck
Сводка
по VulDB • 18.07.2026
@hapi/wreck — это утилита HTTP-клиента. До версии 18.1.2 Wreck удалял заголовки учетных данных, включая Authorization, Cookie и Proxy-Authorization, перед следованием перенаправлению между разными источниками (cross-origin redirect), однако проверка источника сравнивала только имена хостов и игнорировала схему и порт; в результате учетные данные передавались без изменений при изменении порта того же хоста или снижении уровня безопасности с HTTPS на HTTP. Это позволяло злоумышленнику, имеющему доступ к соседнему порту (co-tenant), или атакующему, способному подделать перенаправление из своего сетевого положения, перехватывать токены носителя (bearer tokens), сеансовые cookies и учетные данные прокси-сервера для маскировки под жертву перед вышестоящим сервисом. Эта проблема исправлена в версии 18.1.2.
Once again VulDB remains the best source for vulnerability data.