CVE-2026-40895 is a header leak vulnerability discovered in the follow-redirects Node.js module. This vulnerability allows attackers to potentially expose sensitive authentication headers when a request follows a cross-domain redirect. Versions 0.0.0 through 1.15.9 are affected, and the vulnerability is resolved in version 1.16.0.
CVE-2026-40895 是 follow-redirects 库中的一个漏洞,允许攻击者在跨域重定向期间潜在地泄露敏感信息,例如自定义 API 密钥。在 1.16.0 版本之前,follow-redirects 只会删除 HTTP 重定向 (301/302/307/308) 期间的 Authorization、Proxy-Authorization 和 Cookie 标头。任何自定义身份验证标头(例如 X-API-Key、X-Auth-Token、Api-Key、Token)都会原封不动地转发到重定向目标。这意味着如果服务器将请求重定向到攻击者控制的域,攻击者可能会捕获这些标头,并可能访问受保护的资源或破坏应用程序的安全性。
攻击者可以通过设置一个恶意服务器来利用此漏洞,该服务器将请求重定向到攻击者控制的网站。如果应用程序使用 follow-redirects 并发送自定义身份验证标头,攻击者可能会捕获这些标头并将其用于访问受保护的资源或执行未经授权的操作。利用的可能性取决于应用程序是否使用自定义身份验证标头以及是否执行跨域重定向。由于存在未经授权访问敏感数据的可能性,因此此漏洞的严重程度很高。
漏洞利用状态
EPSS
0.05% (15% 百分位)
CISA SSVC
此漏洞的修复方法是将 follow-redirects 库更新到 1.16.0 或更高版本。此版本通过删除所有身份验证标头(而不仅仅是预定义的标头)来修复此问题。强烈建议更新项目的依赖项以减轻此风险。此外,请检查您的代码,以确保您不在自定义 HTTP 标头中发送敏感信息,尤其是在涉及跨域重定向的场景中。考虑使用更安全的身份验证方法,例如 JWT 令牌或 HTTPOnly Cookie。
Actualice el paquete `follow-redirects` a la versión 1.16.0 o superior para evitar la fuga de encabezados de autenticación personalizados a los objetivos de redirección de dominio cruzado. Esto se puede hacer utilizando npm o yarn.
漏洞分析和关键警报直接发送到您的邮箱。
follow-redirects 是一个 Node.js 库,用于简化 HTTP 重定向的处理。
更新到 1.16.0 或更高版本可以修复一个漏洞,该漏洞可能允许攻击者窃取身份验证信息。
您可以使用 npm 或 yarn 等包管理器来更新 follow-redirects:npm install [email protected] 或 yarn add [email protected]。
如果无法立即更新,请考虑实施缓解措施,例如避免在跨域重定向中使用自定义身份验证标头。
有一些依赖关系安全分析工具可以检测您项目中的此漏洞。请参阅您的安全分析工具的文档以获取更多信息。