Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2026-03568

Опубликовано: 11 дек. 2025
Источник: fstec
CVSS3: 8.2
CVSS2: 8.5
EPSS Низкий

Описание

Уязвимость библиотеки libsoup связана с недостатками обработки http-запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling)

Вендор

ООО «Ред Софт»
GNOME Foundation

Наименование ПО

РЕД ОС
libsoup

Версия ПО

8.0 (РЕД ОС)
до 2.74.3 (libsoup)

Тип ПО

Операционная система
Сетевое программное средство

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 8.0

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,5)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 8,2)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://gitlab.gnome.org/GNOME/libsoup/-/issues/472
Для Ред ОС:
https://redos.red-soft.ru/search/?iblock_id=24&q=CVE-2025-14523

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 4%
0.00018
Низкий

8.2 High

CVSS3

8.5 High

CVSS2

Связанные уязвимости

redos логотип

ROS-20260310-73-0018

CVSS3: 8.2
redos
30 дней назад

Уязвимость libsoup

ubuntu логотип

CVE-2025-14523

CVSS3: 8.2
ubuntu
4 месяца назад

A flaw in libsoup’s HTTP header handling allows multiple Host: headers in a request and returns the last occurrence for server-side processing. Common front proxies often honor the first Host: header, so this mismatch can cause vhost confusion where a proxy routes a request to one backend but the backend interprets it as destined for another host. This discrepancy enables request-smuggling style attacks, cache poisoning, or bypassing host-based access controls when an attacker supplies duplicate Host headers.

redhat логотип

CVE-2025-14523

CVSS3: 8.2
redhat
4 месяца назад

A flaw in libsoup’s HTTP header handling allows multiple Host: headers in a request and returns the last occurrence for server-side processing. Common front proxies often honor the first Host: header, so this mismatch can cause vhost confusion where a proxy routes a request to one backend but the backend interprets it as destined for another host. This discrepancy enables request-smuggling style attacks, cache poisoning, or bypassing host-based access controls when an attacker supplies duplicate Host headers.

nvd логотип

CVE-2025-14523

CVSS3: 8.2
nvd
4 месяца назад

A flaw in libsoup’s HTTP header handling allows multiple Host: headers in a request and returns the last occurrence for server-side processing. Common front proxies often honor the first Host: header, so this mismatch can cause vhost confusion where a proxy routes a request to one backend but the backend interprets it as destined for another host. This discrepancy enables request-smuggling style attacks, cache poisoning, or bypassing host-based access controls when an attacker supplies duplicate Host headers.

msrc логотип

CVE-2025-14523

msrc
3 месяца назад

Libsoup: libsoup: duplicate host header handling causes host-parsing discrepancy (first- vs last-value wins)

EPSS

Процентиль: 4%
0.00018
Низкий

8.2 High

CVSS3

8.5 High

CVSS2