CVE-2026-5119
ŚrednieCVSS 5.9Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 4 - wyżej niż 4% wszystkich znanych CVE
Streszczenie
W libsoup znaleziono lukę, która pozwala na przesyłanie wrażliwych ciasteczek sesyjnych w postaci niezaszyfrowanej podczas nawiązywania tuneli HTTPS przez skonfigurowany proxy HTTP. Atakujący mogą przechwycić te ciasteczka, co prowadzi do potencjalnego przejęcia sesji lub podszywania się pod użytkownika.
Ocena ryzyka
Organizacja narażona jest na ryzyko przejęcia sesji użytkowników, co może prowadzić do nieautoryzowanego dostępu do danych i zasobów. Atakujący mogą wykorzystać te ciasteczka do podszywania się pod użytkowników.
Rekomendacja
Zaleca się skonfigurowanie libsoup w taki sposób, aby nie przesyłał wrażliwych danych w postaci niezaszyfrowanej oraz rozważenie użycia bezpieczniejszych metod tunelowania. Należy również monitorować i zabezpieczać sieci przed złośliwymi proxy.
Oryginalny opis (angielski, źródło NVD)
A flaw was found in libsoup. When establishing HTTPS tunnels through a configured HTTP proxy, sensitive session cookies are transmitted in cleartext within the initial HTTP CONNECT request. A network-positioned attacker or a malicious HTTP proxy can intercept these cookies, leading to potential session hijacking or user impersonation.

