anonhaven

CVE-2026-3783

MEDIUM CVSS 3.1: 5,3 EPSS 0.03%
Обновлено 11 марта 2026
Параметр Значение
CVSS 5,3 (MEDIUM)
Тип уязвимости CWE-522 (Недостаточно защищённые учётные данные)
Публичный эксплойт Нет

Когда для передачи HTTP(S) используется токен носителя OAuth2, и эта передача выполняет перенаправление на второй URL-адрес, Curl может передать этот токен второму URL-адресу. имя хоста при некоторых обстоятельствах. Если имя хоста, на который перенаправляется первый запрос, содержит информацию в используемый файл .netrc с ключевыми словами `machine` или `default`, curl передаст набор токенов носителя для первого хоста и второму.

Показать оригинальное описание (EN)

When an OAuth2 bearer token is used for an HTTP(S) transfer, and that transfer performs a redirect to a second URL, curl could leak that token to the second hostname under some circumstances. If the hostname that the first request is redirected to has information in the used .netrc file, with either of the `machine` or `default` keywords, curl would pass on the bearer token set for the first host also to the second one.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-522 Insufficiently Protected Credentials (Недостаточно защищённые учётные данные)

Ссылки 4

https://curl.se/docs/CVE-2026-3783.html
2499f714-1537-4658-8207-48ae4bb9eae9
https://curl.se/docs/CVE-2026-3783.json
2499f714-1537-4658-8207-48ae4bb9eae9
https://hackerone.com/reports/3583983
2499f714-1537-4658-8207-48ae4bb9eae9
http://www.openwall.com/lists/oss-security/2026/03/11/2
af854a3a-2127-422b-91ae-364da2661108
Share Post Share Share Share