CVE-2026-33637— faraday 代码问题漏洞
Possible ATT&CK Techniques 2AI
T1071 · Application Layer Protocol T1190 · Exploit Public-Facing ApplicationAffected Version Matrix 1
| ベンダー | プロダクト | Version Range | ステータス |
|---|---|---|---|
| lostisland | faraday | >= 2.0.0, <= 2.14.2 | affected |
新しい脆弱性情報の通知を購読するログインして購読
I. CVE-2026-33637の基本情報
脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗ 高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。
脆弱性タイトル
Faraday: Protocol-relative URI objects still bypass host scoping (possible incomplete fix for GHSA-33mh-2634-fwr2)
ソース: NVD (National Vulnerability Database)
脆弱性説明
Faraday is an HTTP client library abstraction layer that provides a common interface over many adapters. Versions 2.0.0 through 2.14.1 still allow protocol-relative host override when the request target is passed as a URI object (rather than a String) to Faraday::Connection#build_exclusive_url. This bypasses the February 2026 fix for GHSA-33mh-2634-fwr2 and enables off-host request forgery: a request built from a fixed-base Faraday::Connection can be redirected to an attacker-controlled host, forwarding connection-scoped values such as Authorization headers and default query parameters. This issue has been fixed in version 2.14.3.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:N
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
服务端请求伪造(SSRF)
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
faraday 代码问题漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
faraday是lostisland开源的一个HTTP客户端库。 faraday 2.0.0版本至2.14.1版本存在代码问题漏洞,该漏洞源于请求目标作为URI对象传递时仍允许协议相关主机覆盖,导致请求伪造。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)
影響を受ける製品
| ベンダー | プロダクト | 影響を受けるバージョン | CPE | 購読 |
|---|---|---|---|---|
| lostisland | faraday | >= 2.0.0, <= 2.14.2 | - |
II. CVE-2026-33637の公開POC
| # | POC説明 | ソースリンク | Shenlongリンク |
|---|
AI生成POCプレミアム
公開POCは見つかりませんでした。
ログインしてAI POCを生成III. CVE-2026-33637のインテリジェンス情報
请登录查看更多情报信息。
CVE-2026-33637 厂商安全公告 (2)
IV. 関連脆弱性
同じ弱点: CWE-918
- CVE-2026-48148
Budibase: Unvalidated VectorDB Host Parameter Enables SSRF - CVE-2026-45548
Budibase: SSRF in AI Extract File Automation Step via Missin - CVE-2026-45715
Budibase: SSRF Bypass via HTTP Redirect in REST Datasource I - CVE-2026-48128
Budibase: SSRF via User-Controlled queryId in Automation Exe - CVE-2026-48146
Budibase: SSRF via OAuth2 Config Validation — Missing fetchW
V. CVE-2026-33637へのコメント
まだコメントはありません