CVE-2022-31033

Authorization header leak in rubygem Mechanize

CVSS 5.9 MEDIUMEPSS 1.4%CWE-200

En resumen

La biblioteca Mechanize filtra el header Authorization (que contiene credenciales sensibles) cuando un sitio te redirige a un puerto diferente en el mismo dominio. Esto significa que tus credenciales de inicio de sesión podrían ser expuestas a un atacante que controle ese puerto alternativo.

Detalle técnico

Vulnerabilidad CWE-200 de divulgación de información en Mechanize versiones anteriores a 2.8.5: la biblioteca no limpia el header Authorization durante redirecciones entre puertos diferentes en el mismo host, permitiendo que las credenciales se transmitan a un endpoint no previsto. El vector de ataque requiere que la aplicación siga un redireccionamiento malicioso; el impacto es la exposición de credenciales si el atacante controla el puerto alternativo.

Resumen generado y traducido por IA a partir de la descripción oficial.

The Mechanize library is used for automating interaction with websites. Mechanize automatically stores and sends cookies, follows redirects, and can follow links and submit forms. In versions prior to 2.8.5 the Authorization header is leaked after a redirect to a different port on the same site. Users are advised to upgrade to Mechanize v2.8.5 or later. There are no known workarounds for this issue.

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N

Productos afectados

sparklemotion · mechanize

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/sparklemotion/mechanize/commit/c7fe6996a5b95f9880653ba3bc548a8d4ef72317 https://github.com/sparklemotion/mechanize/security/advisories/GHSA-64qm-hrgp-pgr9 https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/7OKZMR5O3T5HQ2V737TC7IU4WZRT2LGX/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/OA2FJROTX2U6EBWDPKRQ2VAM67A5TQXF/