PT-2026-43631 · Npm+2 · @Hapi/Wreck+1
CVE-2026-44979
·
Publicado
2026-05-27
·
Atualizado
2026-07-18
CVSS v4.0
6.3
Média
| Vetor | AV:N/AC:H/AT:P/PR:N/UI:N/VC:L/VI:N/VA:N/SC:L/SI:N/SA:N |
Nome do Software Vulnerável e Versões Afetadas
@hapi/wreck versões anteriores a 18.1.1
Descrição
Ao seguir um redirecionamento 3xx para um hostname diferente, o utilitário remove apenas os cabeçalhos
Authorization e Cookie. O cabeçalho de credenciais Proxy-Authorization é encaminhado intacto para o destino do redirecionamento, o que pode expor credenciais de proxy encaminhador a um host fora do limite de confiança original. Isso ocorre quando os redirecionamentos são habilitados por meio da opção redirects ou via Wreck.defaults({ redirects: ... }).Recomendações
Atualize para a versão 18.1.1 ou posterior.
Mantenha a opção
redirects em seu valor padrão false.
Defina redirects como 0 ao chamar endpoints com cabeçalhos sensíveis.
Remova o Proxy-Authorization dos cabeçalhos antes de emitir a requisição.
Use o hook beforeRedirect para remover manualmente o Proxy-Authorization e outros cabeçalhos sensíveis quando o hostname de destino for diferente da requisição original.Exploit
Correção
Information Disclosure
Insufficiently Protected Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
@Hapi/Wreck
Wreck