漏洞概述 漏洞名称: CodexBar < 0.33.0 凭证泄露通过HTTP重定向 CVE编号: CVE-2026-49949 CWE编号: CWE-522 凭证保护不足 CVSS评分: 6 CVSS向量: CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:R/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N 严重程度: 中等 发布日期: 2026年6月11日 影响范围 受影响版本: CodexBar < 0.33.0 描述: CodexBar 0.33.0之前的版本存在一个凭证转发漏洞,允许网络相邻的攻击者通过发起跨源或HTTP降级重定向到共享的ProviderHTTPClient传输来拦截敏感凭证。攻击者可以将携带浏览器cookie、bearer令牌或API密钥的凭证提供程序请求重定向到非预期的主机、端口或明文HTTP目的地,以捕获这些凭证。 修复方案 修复版本: 升级到CodexBar 0.33.0或更高版本 参考链接: - Release Notes - Pull Request - Patch Commit 其他信息 贡献者: Chia Min Jun Lennon 页面其他内容 VulnCheck平台介绍: - Vulnerability Prioritization: 根据威胁景观优先处理重要的漏洞,并推迟不重要的漏洞。 - Early Warning System: 实时警报漏洞景观中的变化,以便在攻击开始之前采取行动。 总结 该漏洞涉及CodexBar < 0.33.0版本中的凭证泄露问题,通过HTTP重定向攻击者可以拦截敏感凭证。建议升级到0.33.0或更高版本以修复此漏洞。