PT-2026-43024 · Rust · Cargo
Christos Papakonstantinou
·
Publicado
2026-05-25
·
Atualizado
2026-06-02
·
CVE-2026-5222
CVSS v2.0
6.8
Média
| Vetor | AV:N/AC:L/Au:S/C:C/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
Cargo versões 1.68 a 1.95
Descrição
O Cargo normalizou incorretamente as URLs de registros de terceiros que utilizam o protocolo de índice esparso (sparse index protocol). Em cenários onde um provedor de hospedagem permite que múltiplos registros sejam hospedados com nomes arbitrários dentro do mesmo domínio, um invasor capaz de publicar crates em um registro poderia obter as credenciais de outros usuários do mesmo registro.
Recomendações
Atualize para a versão 1.96.
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Cargo