Katalog CVE

CVE-2026-44431

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.48%

Percentyl 38 - wyżej niż 38% wszystkich znanych CVE

Streszczenie

Podatność w bibliotece urllib3 dla języka Python (wersje od 1.23 do 2.7.0) umożliwia wyciek wrażliwych nagłówków HTTP podczas przekierowań między różnymi domenami. Problem występuje przy użyciu niskopoziomowego API ProxyManager.connection_from_url().urlopen() z parametrem assert_same_host=False.

Ocena ryzyka

Atakujący może przechwycić wrażliwe dane uwierzytelniające (np. tokeny, ciasteczka) wysyłane w nagłówkach podczas przekierowań do zewnętrznych serwerów, co prowadzi do naruszenia poufności i potencjalnego przejęcia sesji.

Rekomendacja

Należy niezwłocznie zaktualizować bibliotekę urllib3 do wersji 2.7.0 lub nowszej. W międzyczasie unikać używania assert_same_host=False w połączeniach z ProxyManager.

Oryginalny opis (angielski, źródło NVD)

urllib3 is an HTTP client library for Python. From 1.23 to before 2.7.0, cross-origin redirects followed from the low-level API via ProxyManager.connection_from_url().urlopen(..., assert_same_host=False) still forward these sensitive headers. This vulnerability is fixed in 2.7.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS