CVE-2026-48022 in wreckthông tin

Tóm tắt

Bởi VulDB • 17/07/2026

@hapi/wreck là một tiện ích máy khách HTTP. Trước phiên bản 18.1.2, Wreck loại bỏ các tiêu đề xác thực bao gồm Authorization, Cookie và Proxy-Authorization trước khi làm theo chuyển hướng khác nguồn gốc (cross-origin redirect), nhưng việc kiểm tra nguồn gốc chỉ so sánh tên miền (hostnames) mà bỏ qua lược đồ (scheme) và cổng (port), do đó thông tin xác thực được chuyển tiếp nguyên vẹn qua các thay đổi cùng máy chủ ở các cổng khác nhau và các trường hợp hạ cấp từ HTTPS sang HTTP, cho phép một đồng nghiệp dùng chung môi trường trên cổng lân cận hoặc kẻ tấn công có vị trí mạng đủ khả năng giả mạo lệnh chuyển hướng để đánh cắp mã thông báo bearer (bearer tokens), cookie phiên (session cookies) và thông tin xác thực proxy, qua đó giả danh nạn nhân đối với dịch vụ phía trước. Vấn đề này đã được sửa trong phiên bản 18.1.2.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

chịu trách nhiệm

GitHub M

Đặt trước

20/05/2026

Tiết lộ

17/07/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00000

KEV

không

Các hoạt động

rất thấp

Nguồn

Want to stay up to date on a daily basis?

Enable the mail alert feature now!