Katalog CVE

CVE-2026-5119

ŚrednieCVSS 5.9
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.02%

Percentyl 4 - wyżej niż 4% wszystkich znanych CVE

Streszczenie

W libsoup znaleziono lukę, która pozwala na przesyłanie wrażliwych ciasteczek sesyjnych w postaci niezaszyfrowanej podczas nawiązywania tuneli HTTPS przez skonfigurowany proxy HTTP. Atakujący mogą przechwycić te ciasteczka, co prowadzi do potencjalnego przejęcia sesji lub podszywania się pod użytkownika.

Ocena ryzyka

Organizacja narażona jest na ryzyko przejęcia sesji użytkowników, co może prowadzić do nieautoryzowanego dostępu do danych i zasobów. Atakujący mogą wykorzystać te ciasteczka do podszywania się pod użytkowników.

Rekomendacja

Zaleca się skonfigurowanie libsoup w taki sposób, aby nie przesyłał wrażliwych danych w postaci niezaszyfrowanej oraz rozważenie użycia bezpieczniejszych metod tunelowania. Należy również monitorować i zabezpieczać sieci przed złośliwymi proxy.

Oryginalny opis (angielski, źródło NVD)

A flaw was found in libsoup. When establishing HTTPS tunnels through a configured HTTP proxy, sensitive session cookies are transmitted in cleartext within the initial HTTP CONNECT request. A network-positioned attacker or a malicious HTTP proxy can intercept these cookies, leading to potential session hijacking or user impersonation.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS