CVE-2026-25765

Nome do Software Vulnerável e Versões Afetadas Faraday versões anteriores a 2.14.1

Descrição O Faraday é uma camada de abstração de biblioteca cliente HTTP. A função build exclusive url() (localizada em lib/faraday/connection.rb) utiliza o URI#merge do Ruby para combinar a URL base de uma conexão com um caminho fornecido pelo usuário. De acordo com a RFC 3986, URLs relativas ao protocolo (que começam com //) são tratadas como referências de caminho de rede que substituem o componente de host ou autoridade da URL base. Se uma aplicação passar entradas controladas pelo usuário para métodos de requisição como get(), post() ou build url(), um atacante pode fornecer uma URL relativa ao protocolo para redirecionar a requisição para um host arbitrário, resultando em Server-Side Request Forgery (SSRF), uma técnica onde um atacante força um servidor a fazer requisições para um destino não pretendido.

Recomendações Atualizar para a versão 2.14.1. Validar e sanitizar entradas controladas pelo usuário antes de passá-las para os métodos de requisição, rejeitando ou removendo entradas que comecem com // seguido de um caractere que não seja /. Utilizar uma lista de permissões (allowlist) de prefixos de caminho permitidos. Preceder todos os caminhos fornecidos pelo usuário com ./ antes de passá-los para a biblioteca.