LOW🇬🇧 English

CVE-2026-5222

CVSS 2.3v4.0pub. 2026-05-25upd. 2026-06-01

Cargo w wersjach od 1.68 do 1.96 nieprawidłowo normalizował adresy URL repozytoriów innych firm korzystających z protokołu sparse index. Jeśli dostawca hostingu umożliwił hosting wielu repozytoriów z dowolnymi nazwami w obrębie tej samej domeny, osoba atakująca mogąca publikować pakiety w repozytorium mogła uzyskać poświadczenia innych użytkowników tego samego repozytorium. Severność tej podatności jest niska ze względu na niezwykle specyficzne wymagania potrzebne do przeprowadzenia ataku.

Pokaż oryginał (EN)

Cargo between 1.68 and 1.96 incorrectly normalized the URLs of third-party registries using the sparse index protocol. If a hosting provider allowed multiple registries to be hosted with arbitrary names within the same domain, an attacker able to publish crates in a registry could obtain the credentials of others users of the same registry. The severity of the vulnerability is **low**, due to the extremely niche requirements needed to achieve the attack.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:L/VI:N/VA:N/SC:L/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Rust Lang Cargo

    APP
    Rust-Lang
    1.68.0 – 1.96.0 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2023-38497HIGH7.9ten sam produkt

Cargo downloads the Rust project’s dependencies and compiles the project. Cargo prior to version 0.72.2, bundl...

CVE-2026-5223MEDIUM6.5ten sam produkt

Cargo incorrectly handled symlinks inside of crate tarballs downloaded from third-party registries, allowing a...

CVE-2022-46176MEDIUM5.3ten sam produkt

Cargo is a Rust package manager. The Rust Security Response WG was notified that Cargo did not perform SSH hos...

CVE-2022-36113MEDIUM4.6ten sam produkt

Cargo is a package manager for the rust programming language. After a package is downloaded, Cargo extracts it...

CVE-2022-36114MEDIUM4.8ten sam produkt

Cargo is a package manager for the rust programming language. It was discovered that Cargo did not limit the a...