CVE-2026-48595

Nome do Software Vulnerável e Versões Afetadas tesla versões 1.4.0 até 1.18.2

Description O manuseio inadequado de sensibilidade a maiúsculas e minúsculas no middleware Tesla.Middleware.FollowRedirects permite o vazamento de credenciais para origens de terceiros durante redirecionamentos cross-origin. O sistema utiliza uma comparação de string sensível a maiúsculas/minúsculas contra uma lista de filtros em letras minúsculas contendo authorization e host para remover cabeçalhos sensíveis. No entanto, como os nomes dos cabeçalhos HTTP não diferenciam maiúsculas de minúsculas conforme a RFC 7230 e o Tesla preserva as chaves dos cabeçalhos exatamente como fornecidas, cabeçalhos que utilizam a capitalização canônica, como Authorization, não correspondem ao filtro em letras minúsculas e são encaminhados para o destino do redirecionamento. Um invasor capaz de influenciar uma resposta Location: pode capturar tokens de portador ou outros materiais de autorização.

Recommendations Atualize para a versão 1.18.3. Normalize todas as chaves de cabeçalho para letras minúsculas antes de passá-las para o software, especificamente utilizando authorization em vez de Authorization ao definir cabeçalhos via Tesla.put header/3 ou Tesla.Middleware.Headers.