PT-2024-2572 · Unknown+3 · Follow-Redirects+3

4Xpl0R3R

·

Publicado

2024-03-14

·

Atualizado

2026-04-28

·

CVE-2024-28849

CVSS v2.0

6.8

Média

VetorAV:N/AC:L/Au:S/C:C/I:N/A:N
Nome do software vulnerável e versões afetadas
Versões do follow-redirects anteriores à 1.15.6
Descrição
O problema está relacionado à proteção insuficiente de dados confidenciais no módulo follow-redirects, que é um substituto direto para os módulos http e https do Node. Esse módulo segue redirecionamentos automaticamente, mas apenas limpa o cabeçalho de autorização durante redirecionamentos entre domínios, mantendo o cabeçalho de autenticação do proxy que contém credenciais. Isso pode levar ao vazamento de credenciais. Não há soluções alternativas conhecidas para esse problema.
Recomendações
Para versões anteriores à 1.15.6, atualize para a versão 1.15.6 para resolver o problema.
Como solução alternativa temporária, considere remover o cabeçalho de autenticação de proxy durante redirecionamentos entre domínios.

Exploit

Correção

Information Disclosure

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-200

Identificadores relacionados

AZL-36895
AZL-43861
AZL-44493
BDU:2024-02610
CVE-2024-28849
GHSA-CXJH-PQWP-8MFP
OPENSUSE-SU-2024:13830-1
RHSA-2024:3781
USN-8217-1

Produtos afetados

Debian
Linuxmint
Ubuntu
Follow-Redirects