CVE-2026-33637

Nome do Software Vulnerável e Versões Afetadas Faraday versões 2.0.0 até 2.14.1

Description Faraday é uma camada de abstração de biblioteca de cliente HTTP. Existe uma falha que permite a substituição do host relativo ao protocolo quando o alvo da requisição é passado como um objeto URI em vez de uma String para a função Faraday::Connection#build exclusive url. Isso possibilita a falsificação de requisições off-host, onde uma requisição destinada a uma conexão de base fixa pode ser redirecionada para um host controlado por um invasor. Durante esse processo, valores definidos no escopo da conexão, como cabeçalhos de Authorization e parâmetros de consulta padrão, são encaminhados para o host malicioso. Outras funções afetadas incluem Faraday::Connection#run request, Faraday::Request#url e Faraday::Request#to env.

Recommendations Atualize para a versão 2.14.3. Como medida paliativa temporária, evite passar objetos URI para Faraday::Connection#build exclusive url e utilize alvos do tipo String.