Illia-V

**Nome do Software Vulnerável e Versões Afetadas** Versões do urllib3 de 1.22 a 2.6.2 **Descrição** O urllib3 é uma biblioteca cliente HTTP em Python. Sua API de streaming é projetada para manipulação eficiente de grandes respostas HTTP, lendo o conteúdo em blocos. A biblioteca descomprime o conteúdo com base no cabeçalho HTTP `Content-Encoding`, como `gzip`, `deflate`, `br` ou `zstd`. Ao usar a API de streaming com redirecionamentos HTTP e `preload content` definido como `False`, versões anteriores à 2.6.3 liam e descomprimiam desnecessariamente o corpo inteiro da resposta, mesmo antes de qualquer método de leitura ser chamado. Os limites de leitura configurados não restringiam a quantidade de dados descomprimidos, criando um risco de bombas de descompressão. Um servidor malicioso poderia explorar isso para causar consumo excessivo de recursos no cliente. Aplicações e bibliotecas são afetadas ao transmitir conteúdo de fontes não confiáveis sem desabilitar redirecionamentos. **Recomendações** Atualize para a versão 2.6.3 ou posterior do urllib3. Se a atualização não for possível imediatamente, desabilite os redirecionamentos definindo `redirect=False` para solicitações a fontes não confiáveis.

**Name of the Vulnerable Software and Affected Versions** urllib3 versions prior to 2.5.0 **Description** The issue concerns urllib3, a Python HTTP client library, which does not control redirects in browsers and Node.js prior to version 2.5.0. This library supports being used in a Pyodide runtime, utilizing the JavaScript Fetch API or falling back on XMLHttpRequest, allowing Python libraries to make HTTP requests from a browser or Node.js. However, the retries and redirect parameters are ignored with Pyodide, as the runtime itself determines redirect behavior. Redirects can be used to exploit SSRF vulnerabilities, and applications attempting to mitigate SSRF or open redirect vulnerabilities by disabling redirects may remain vulnerable if a Pyodide runtime redirect mechanism is unsuitable. **Recommendations** For versions prior to 2.5.0, upgrade to a patched version of urllib3. As a temporary workaround, consider restricting the use of urllib3 in Pyodide runtime to minimize the risk of exploitation. Avoid relying on urllib3 to control the number of redirects for an HTTP request in a Pyodide runtime until the issue is resolved.