Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

CVE-2026-48595

PUBLISHED 04.06.2026

CNA: EEF

Authorization header leaks to third-party origin on cross-origin redirect in Tesla.Middleware.FollowRedirects

Обновлено: 04.06.2026
Improper Handling of Case Sensitivity vulnerability in elixir-tesla tesla allows credential leakage to a third-party origin on cross-origin redirects. Tesla.Middleware.FollowRedirects strips security-sensitive headers on cross-origin redirects using a case-sensitive string comparison against a lowercase filter list (@filter_headers ["authorization", "host"]). HTTP header names are case-insensitive per RFC 7230, but Tesla preserves header keys verbatim as supplied by the caller without normalizing case. A header set as {"Authorization", "Bearer …"} (the RFC 7235 canonical casing used by virtually all HTTP libraries and documentation) does not match the lowercase filter entry and is forwarded to the redirect destination. An attacker who can control or influence a Location: response seen by the client (via their own endpoint, a redirect-open upstream, or a compromised origin) receives the bearer token or other Authorization material on the cross-origin request. This issue affects tesla: from 1.4.0 before 1.18.3.

CWE

Идентификатор Описание
CWE-178 The product does not properly account for differences in case sensitivity when accessing or determining the properties of a resource, leading to inconsistent results.

CVSS

Оценка Severity Версия Базовый вектор
8.2 HIGH 4.0 CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N

Доп. Информация

Product Status

tesla
Product: tesla
Vendor: elixir-tesla
Default status: unaffected
Версии:
Затронутые версии Статус
Наблюдалось в версиях от 1.4.0 до 1.18.3 affected
СPE:
  • cpe:2.3:a:elixir-tesla:tesla:*:*:*:*:*:*:*:*
tesla
Product: tesla
Vendor: elixir-tesla
Default status: unaffected
Версии:
Затронутые версии Статус
Наблюдалось в версиях от 2d937d5813d7cda5cd726f41824985fb655c920f до db963dba67651b9abd1fc420a1d9679cf6efe182 affected
СPE:
  • cpe:2.3:a:elixir-tesla:tesla:*:*:*:*:*:*:*:*
 

Ссылки

CISA ADP Vulnrichment

Обновлено: 03.06.2026
Этот блок содержит дополнительную информацию, предоставленную программой CVE для этой уязвимости.

SSVC

Exploitation Automatable Technical Impact Версия Дата доступа
poc no partial 2.0.3 03.06.2026

Ссылки

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.