PT-2026-43631 · Npm+2 · @Hapi/Wreck+1

CVE-2026-44979

·

Publicado

2026-05-27

·

Atualizado

2026-07-18

CVSS v4.0

6.3

Média

VetorAV:N/AC:H/AT:P/PR:N/UI:N/VC:L/VI:N/VA:N/SC:L/SI:N/SA:N
Nome do Software Vulnerável e Versões Afetadas @hapi/wreck versões anteriores a 18.1.1
Descrição Ao seguir um redirecionamento 3xx para um hostname diferente, o utilitário remove apenas os cabeçalhos Authorization e Cookie. O cabeçalho de credenciais Proxy-Authorization é encaminhado intacto para o destino do redirecionamento, o que pode expor credenciais de proxy encaminhador a um host fora do limite de confiança original. Isso ocorre quando os redirecionamentos são habilitados por meio da opção redirects ou via Wreck.defaults({ redirects: ... }).
Recomendações Atualize para a versão 18.1.1 ou posterior. Mantenha a opção redirects em seu valor padrão false. Defina redirects como 0 ao chamar endpoints com cabeçalhos sensíveis. Remova o Proxy-Authorization dos cabeçalhos antes de emitir a requisição. Use o hook beforeRedirect para remover manualmente o Proxy-Authorization e outros cabeçalhos sensíveis quando o hostname de destino for diferente da requisição original.

Exploit

Correção

Information Disclosure

Insufficiently Protected Credentials

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-44979
GHSA-VHJM-W67Q-G75C

Produtos afetados

@Hapi/Wreck
Wreck