CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-48595

HighCVSS 8.2
Published: Updated: Translated: NVD NIST

Exploitation Probability (EPSS)

Low risk
0.40%

31th percentile - higher than 31% of all known CVEs

Summary

Podatność związana z niewłaściwym traktowaniem wielkości liter w elixir-tesla tesla umożliwia wyciek danych uwierzytelniających do zewnętrznego źródła podczas przekierowań między źródłami. Nagłówki zabezpieczeń są usuwane na podstawie porównania z listą filtrów, co prowadzi do niezamierzonego przekazywania danych uwierzytelniających.

Risk Assessment

Organizacja narażona jest na ryzyko wycieku danych uwierzytelniających, co może prowadzić do nieautoryzowanego dostępu do zasobów. Atakujący mogą wykorzystać tę podatność do przechwycenia tokenów uwierzytelniających.

Recommendation

Zaleca się aktualizację elixir-tesla do wersji 1.18.3 lub nowszej, aby zlikwidować tę podatność. Dodatkowo, warto rozważyć implementację dodatkowych mechanizmów zabezpieczających dla przekierowań między źródłami.

Original NVD description (English source)

Improper Handling of Case Sensitivity vulnerability in elixir-tesla tesla allows credential leakage to a third-party origin on cross-origin redirects. Tesla.Middleware.FollowRedirects strips security-sensitive headers on cross-origin redirects using a case-sensitive string comparison against a lowercase filter list (@filter_headers ["authorization", "host"]). HTTP header names are case-insensitive per RFC 7230, but Tesla preserves header keys verbatim as supplied by the caller without normalizing case. A header set as {"Authorization", "Bearer …"} (the RFC 7235 canonical casing used by virtually all HTTP libraries and documentation) does not match the lowercase filter entry and is forwarded to the redirect destination. An attacker who can control or influence a Location: response seen by the client (via their own endpoint, a redirect-open upstream, or a compromised origin) receives the bearer token or other Authorization material on the cross-origin request. This issue affects tesla: from 1.4.0 before 1.18.3.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS