CVE-2026-48998

Nome do Software Vulnerável e Versões Afetadas guzzlehttp/psr7 versões anteriores a 2.10.2

Description Ocorre uma validação inadequada do cabeçalho Host ao analisar mensagens de requisição HTTP brutas ou ao derivar uma URI de requisição de servidor a partir de variáveis de servidor. Um invasor pode fornecer um cabeçalho Host malformado contendo delimitadores de autoridade de URI, como trusted.example@evil.example. Quando esse valor é usado para construir uma URI, ele pode ser reinterpretado como userinfo e host da URI, fazendo com que o host da URI de requisição resultante difira do valor original do cabeçalho Host. Isso afeta aplicações que utilizam a função GuzzleHttpPsr7Message::parseRequest(), a função legada GuzzleHttpPsr7parse request() ou aquelas que constroem requisições de servidor a partir de variáveis de servidor controladas por invasores que dependem do host da URI para roteamento, verificações de lista de permissões ou decisões de encaminhamento. Em cenários de gateway ou encaminhamento, isso pode levar ao envio de requisições ou credenciais para um host não pretendido.

Recommendations Atualize para a versão 2.10.2. Como medida paliativa temporária, valide o cabeçalho Host como uri-host [ ":" port ] antes de chamar Message::parseRequest() ou parse request() em dados não confiáveis, ou antes de tomar decisões de roteamento e encaminhamento. Rejeite valores de Host que contenham delimitadores de userinfo, caminho, consulta ou fragmento.