Jeppw

**Name of the Vulnerable Software and Affected Versions** Netty versions 4.1.124.Final Netty versions 4.2.0.Alpha3 through 4.2.4.Final **Description** Netty is an asynchronous event-driven network application framework for development of maintainable high performance protocol servers and clients. Netty incorrectly accepts standalone newline characters (LF) as a chunk-size line terminator, regardless of a preceding carriage return (CR), instead of requiring CRLF per HTTP/1.1 standards. When combined with reverse proxies that parse LF differently, attackers can craft requests that the proxy sees as one request but Netty processes as two, enabling request smuggling attacks. **Recommendations** Netty version 4.1.125.Final Netty version 4.2.5.Final

Nome do Software Vulnerável e Versões Afetadas: Versões do AIOHTTP anteriores à 3.12.14 Descrição: O AIOHTTP, um framework assíncrono de cliente/servidor HTTP para asyncio e Python, contém um problema no qual o analisador Python não analisa corretamente as seções de trailer de uma requisição HTTP. Isso pode permitir que um atacante execute um ataque de contrabando de requisições (request smuggling), potencialmente contornando firewalls ou proteções de proxy, quando uma versão puramente Python do AIOHTTP estiver instalada ou `AIOHTTP NO EXTENSIONS` estiver habilitado. Recomendações: Atualize para a versão 3.12.14 ou posterior do AIOHTTP.

**Nome do Software Vulnerável e Versões Afetadas** Versões do h11 anteriores à 0.16.0 **Descrição** O h11 é uma implementação em Python do HTTP/1.1. Uma tolerância excessiva na análise de terminadores de linha pelo h11 em corpos de mensagem com codificação chunked pode levar a vulnerabilidades de contrabando de requisições sob certas condições. Este problema foi corrigido na versão 0.16.0. Como a exploração requer a combinação de um h11 com bugs com um proxy (reverso) com bugs, corrigir qualquer um dos componentes é suficiente para mitigar este problema. **Recomendações** Atualize para a versão 0.16.0 do h11 para corrigir a vulnerabilidade de análise. Como solução temporária, considere desativar o componente vulnerável até que um patch esteja disponível. Restrinja o acesso ao módulo vulnerável para minimizar o risco de exploração. Evite utilizar a função vulnerável no endpoint de API afetado até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do aiohttp anteriores à 3.10.11 **Descrição** O aiohttp é uma estrutura cliente/servidor HTTP assíncrona para asyncio e Python. Existe uma falha no tratamento, pelo analisador de Python, das quebras de linha dentro das extensões de blocos, o que pode levar a vulnerabilidades de contrabando de solicitações. Se uma versão em Python puro do aiohttp estiver instalada (sem as extensões C habituais) ou se `AIOHTTP NO EXTENSIONS` estiver habilitado, um invasor poderá explorar essa falha para contornar certos firewalls ou proteções de proxy. O contrabando de solicitações ocorre quando um invasor manipula solicitações HTTP para induzir o servidor a processá-las de maneira indesejada. Isso pode levar a várias consequências de segurança, incluindo acesso não autorizado e violações de dados. **Recomendações** Atualize o aiohttp para a versão 3.10.11 ou posterior.