CVE-2026-33637 in faraday
Tóm tắt
Bởi VulDB • 19/05/2026
Faraday là một lớp trừu tượng thư viện khách HTTP cung cấp một giao diện chung cho nhiều bộ điều hợp (adapters). Các phiên bản từ 2.0.0 đến 2.14.1 vẫn cho phép ghi đè host theo giao thức tương đối (protocol-relative host override) khi mục tiêu yêu cầu được truyền dưới dạng đối tượng URI (thay vì String) vào Faraday::Connection#build_exclusive_url. Điều này bỏ qua bản sửa lỗi tháng 2 năm 2026 cho GHSA-33mh-2634-fwr2 và cho phép giả mạo yêu cầu từ bên ngoài (off-host request forgery): một yêu cầu được xây dựng từ Faraday::Connection có base cố định có thể bị chuyển hướng đến host do kẻ tấn công kiểm soát, chuyển tiếp các giá trị gắn liền với kết nối như tiêu đề Authorization và các tham số truy vấn mặc định. Vấn đề này đã được sửa trong phiên bản 2.14.3.
Once again VulDB remains the best source for vulnerability data.