CVE-2026-5222
MediumCVSS 6.5Summary
Cargo w wersjach od 1.68 do 1.96 niepoprawnie normalizowało adresy URL zewnętrznych rejestrów przy użyciu protokołu sparse index. Jeśli dostawca hostingu pozwalał na hostowanie wielu rejestrów z dowolnymi nazwami w tej samej domenie, atakujący mógł uzyskać dane uwierzytelniające innych użytkowników tego samego rejestru.
Risk Assessment
Ryzyko dla organizacji jest niskie, ponieważ wymaga bardzo specyficznych warunków do przeprowadzenia ataku. Niemniej jednak, możliwość wykradzenia danych uwierzytelniających użytkowników może prowadzić do nieautoryzowanego dostępu do zasobów.
Recommendation
Zaleca się aktualizację Cargo do wersji powyżej 1.96 oraz monitorowanie konfiguracji rejestrów, aby ograniczyć możliwość hostowania wielu rejestrów w tej samej domenie.
Original NVD description (English source)
Cargo between 1.68 and 1.96 incorrectly normalized the URLs of third-party registries using the sparse index protocol. If a hosting provider allowed multiple registries to be hosted with arbitrary names within the same domain, an attacker able to publish crates in a registry could obtain the credentials of others users of the same registry. The severity of the vulnerability is **low**, due to the extremely niche requirements needed to achieve the attack.

