CVE-2026-11856
NieznaneStreszczenie
Podatność w bibliotece libcurl powoduje, że przy ponownym użyciu uchwytu do transferów HTTP z uwierzytelnianiem Digest, nagłówek Authorization przeznaczony dla pierwotnego hosta jest błędnie przekazywany do innego hosta. Problem występuje, gdy po udanym transferze do hostA z uwierzytelnianiem Digest zmieniany jest cel na hostB.
Ocena ryzyka
Organizacja narażona jest na wyciek danych uwierzytelniających do nieuprawnionego serwera, co może prowadzić do nieautoryzowanego dostępu do zasobów lub ataków typu man-in-the-middle.
Rekomendacja
Należy natychmiast zaktualizować bibliotekę libcurl do wersji, w której usunięto tę podatność, oraz przejrzeć kod aplikacji używających ponownie uchwytów curl z uwierzytelnianiem Digest.
Oryginalny opis (angielski, źródło NVD)
Successfully using libcurl to do a transfer to a specific HTTP origin (`hostA`) with **Digest** authentication and then changing the origin to a different one (`hostB`) for a second transfer, reusing the same handle, makes libcurl wrongly pass on the `Authorization:` header field meant for `hostA`, to `hostB`.

