CVE-2026-25765

Faraday is an HTTP client library abstraction layer that provides a common interface over many adapters. Prior to 2.14.1, Faraday's build_exclusive_url method (in lib/faraday/connection.rb) uses Ruby's URI#merge to combine the connection's base URL with a user-supplied path. Per RFC 3986, protocol-relative URLs (e.g. //evil.com/path) are treated as network-path references that override the base URL's host/authority component. This means that if any application passes user-controlled input to Faraday's get(), post(), build_url(), or other request methods, an attacker can supply a protocol-relative URL like //attacker.com/endpoint to redirect the request to an arbitrary host, enabling Server-Side Request Forgery (SSRF). This vulnerability is fixed in 2.14.1.
Configurations

Configuration 1 (hide)

OR cpe:2.3:a:faraday_project:faraday:*:*:*:*:*:*:*:*
cpe:2.3:a:faraday_project:faraday:*:*:*:*:*:*:*:*

History

20 Feb 2026, 21:03

Type Values Removed Values Added
CPE cpe:2.3:a:faraday_project:faraday:*:*:*:*:*:*:*:*
First Time Faraday Project faraday
Faraday Project
References () https://github.com/lostisland/faraday/commit/a6d3a3a0bf59c2ab307d0abd91bc126aef5561bc - () https://github.com/lostisland/faraday/commit/a6d3a3a0bf59c2ab307d0abd91bc126aef5561bc - Patch
References () https://github.com/lostisland/faraday/releases/tag/v2.14.1 - () https://github.com/lostisland/faraday/releases/tag/v2.14.1 - Product, Release Notes
References () https://github.com/lostisland/faraday/security/advisories/GHSA-33mh-2634-fwr2 - () https://github.com/lostisland/faraday/security/advisories/GHSA-33mh-2634-fwr2 - Mitigation, Vendor Advisory
Summary
  • (es) Faraday es una capa de abstracción de biblioteca cliente HTTP que proporciona una interfaz común sobre muchos adaptadores. Antes de la versión 2.14.1, el método build_exclusive_url de Faraday (en lib/faraday/connection.rb) utiliza URI#merge de Ruby para combinar la URL base de la conexión con una ruta proporcionada por el usuario. Según la RFC 3986, las URL relativas al protocolo (por ejemplo, //evil.com/path) se tratan como referencias de ruta de red que anulan el componente de host/autoridad de la URL base. Esto significa que si alguna aplicación pasa entrada controlada por el usuario a los métodos get(), post(), build_url() u otros métodos de petición de Faraday, un atacante puede proporcionar una URL relativa al protocolo como //attacker.com/endpoint para redirigir la petición a un host arbitrario, lo que permite la falsificación de petición del lado del servidor (SSRF). Esta vulnerabilidad se corrige en la versión 2.14.1.

09 Feb 2026, 21:15

Type Values Removed Values Added
New CVE

Information

Published : 2026-02-09 21:15

Updated : 2026-02-20 21:03


NVD link : CVE-2026-25765

Mitre link : CVE-2026-25765

CVE.ORG link : CVE-2026-25765


JSON object : View

Products Affected

faraday_project

  • faraday
CWE
CWE-918

Server-Side Request Forgery (SSRF)