Gallaecio

**Nome do software vulnerável e versões afetadas** Versões do Scrapy anteriores à 2.5.1 Versões do Scrapy 1.8 e anteriores **Descrição** A vulnerabilidade afeta o Scrapy ao usar o `HttpAuthMiddleware` para autenticação HTTP, fazendo com que todas as solicitações exponham as credenciais ao destino da solicitação. Isso inclui solicitações geradas por componentes do Scrapy, como solicitações `robots.txt` ou solicitações alcançadas por meio de redirecionamentos. **Recomendações** Para versões do Scrapy anteriores à 2.5.1, atualize para o Scrapy 2.5.1 e use o novo atributo de spider `http auth domain` para controlar quais domínios têm permissão para receber as credenciais de autenticação HTTP configuradas. Para versões do Scrapy 1.8 e anteriores, atualize para o Scrapy 1.8.1 se a atualização para o Scrapy 2.5.1 não for uma opção. Se a atualização não for possível, defina as credenciais de autenticação HTTP por solicitação usando a função `w3lib.http.basic auth header` para converter as credenciais em um valor que possa ser atribuído ao cabeçalho `Authorization` da solicitação.

**Nome do software vulnerável e versões afetadas** Versões do scrapy-splash anteriores à 0.8.0 **Descrição** A vulnerabilidade afeta usuários que utilizam o `HttpAuthMiddleware` para autenticação Splash, fazendo com que solicitações não-Splash exponham credenciais ao destino da solicitação. Isso inclui solicitações `robots.txt` enviadas pelo Scrapy quando a configuração `ROBOTSTXT OBEY` está definida como `True`. **Recomendações** Atualize para o scrapy-splash 0.8.0 e use as novas configurações `SPLASH USER` e `SPLASH PASS` para definir as credenciais de autenticação Splash com segurança. Se não for possível atualizar, defina suas credenciais de solicitação Splash individualmente para cada solicitação usando o parâmetro de solicitação `splash headers`, em vez de defini-las globalmente usando o `HttpAuthMiddleware`. Como alternativa, certifique-se de que todas as suas solicitações passem pelo Splash desativando o middleware robots.txt.