CVE-2026-44503

Nome do Software Vulnerável e Versões Afetadas microsoft-kiota-http-okHttp versões 1.9.0 e anteriores kiota-dotnet (versões afetadas não especificadas) kiota-java (versões afetadas não especificadas) kiota-python (versões afetadas não especificadas) kiota-typescript (versões afetadas não especificadas) kiota-http-go (versões afetadas não especificadas)

Description O middleware RedirectHandler falha ao remover cabeçalhos HTTP sensíveis ao seguir redirecionamentos 3xx para um host ou esquema diferente. Embora o cabeçalho Authorization seja removido, outros cabeçalhos sensíveis, incluindo Cookie, Proxy-Authorization e cabeçalhos personalizados, são encaminhados para o destino do redirecionamento. Isso ocorre dentro da função getRedirect(). Um invasor capaz de disparar um redirecionamento de origem cruzada a partir de uma API confiável poderia capturar cookies de sessão, credenciais de proxy e chaves de API da solicitação redirecionada, levando potencialmente ao sequestro de sessão ou roubo de credenciais.

Recommendations Atualize o microsoft-kiota-http-okHttp para uma versão posterior à 1.9.0. No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade no kiota-dotnet, kiota-java, kiota-python, kiota-typescript e kiota-http-go.