PT-2026-39665 · Pypi+2 · Urllib3+2

Christos-Spearbit

Publicado

2026-05-11

Atualizado

2026-06-05

CVE-2026-44431

CVSS v4.0

8.2

Alta

Vetor

AV:N/AC:H/AT:P/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N

Nome do Software Vulnerável e Versões Afetadas urllib3 versões 1.23 até 2.6.x

Descrição Cabeçalhos sensíveis, especificamente Authorization, Cookie e Proxy-Authorization, são encaminhados durante redirecionamentos de origem cruzada (cross-origin) ao usar a API de baixo nível via ProxyManager.connection from url().urlopen(..., assert same host=False). Enquanto APIs de alto nível como urllib3.request(), PoolManager.request() e ProxyManager.request() removem esses cabeçalhos por padrão, o fluxo de baixo nível não o faz.

Recomendações Atualize para a versão 2.7.0 ou posterior. Evite usar o fluxo de redirecionamento de baixo nível para redirecionamentos de origem cruzada ou mude para ProxyManager.request().

Correção

Information Disclosure

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-200

Identificadores relacionados

CLEANSTART-2026-AN27706

CLEANSTART-2026-EP51501

CLEANSTART-2026-GH89210

CLEANSTART-2026-HZ86045

CLEANSTART-2026-LZ07533

CLEANSTART-2026-MV15822

CLEANSTART-2026-QK55639

CLEANSTART-2026-UV23635

CVE-2026-44431

ECHO-4544-3B20-7E41

GHSA-QCCP-GFCP-XXVC

OESA-2026-2298

OESA-2026-2299

OESA-2026-2300

OESA-2026-2390

OESA-2026-2391

OESA-2026-2541

OESA-2026-2542

OESA-2026-2543

OESA-2026-2544

OPENSUSE-SU-2026:10838-1

PYSEC-2026-141

SUSE-SU-2026:22003-1

SUSE-SU-2026:22011-1

USN-8379-1

Produtos afetados

Linuxmint

Ubuntu

Urllib3

PT-2026-39665 · Pypi+2 · Urllib3+2

CVE-2026-44431

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 187