Vulnerabilidad en Sliver (CVE-2026-25765)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-918
Falsificación de solicitud en servidor (SSRF)
Fecha de publicación:
09/02/2026
Última modificación:
20/02/2026
Descripción
Faraday es una capa de abstracción de biblioteca cliente HTTP que proporciona una interfaz común sobre muchos adaptadores. Antes de la versión 2.14.1, el método build_exclusive_url de Faraday (en lib/faraday/connection.rb) utiliza URI#merge de Ruby para combinar la URL base de la conexión con una ruta proporcionada por el usuario. Según la RFC 3986, las URL relativas al protocolo (por ejemplo, //evil.com/path) se tratan como referencias de ruta de red que anulan el componente de host/autoridad de la URL base. Esto significa que si alguna aplicación pasa entrada controlada por el usuario a los métodos get(), post(), build_url() u otros métodos de petición de Faraday, un atacante puede proporcionar una URL relativa al protocolo como //attacker.com/endpoint para redirigir la petición a un host arbitrario, lo que permite la falsificación de petición del lado del servidor (SSRF). Esta vulnerabilidad se corrige en la versión 2.14.1.
Impacto
Puntuación base 3.x
5.80
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:faraday_project:faraday:*:*:*:*:*:*:*:* | 1.0.0 (incluyendo) | 1.10.5 (excluyendo) |
| cpe:2.3:a:faraday_project:faraday:*:*:*:*:*:*:*:* | 2.0.0 (incluyendo) | 2.14.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página