Lann

**Nome do software vulnerável e versões afetadas** Versões do Spin anteriores à 2.4.3 **Descrição** A vulnerabilidade afeta aplicações Spin especificamente configuradas que utilizam solicitações `self` sem uma autoridade de URL especificada, permitindo que sejam induzidas a enviar solicitações para hosts arbitrários por meio do cabeçalho HTTP `Host`. Isso pode ocorrer sob certas condições: quando o ambiente roteia solicitações com base na URL em vez do cabeçalho `Host`, quando o componente do aplicativo está configurado com uma lista `allow outbound hosts` contendo `“self”` e quando o componente faz uma solicitação de saída sem um nome de host/porta na URL. **Recomendações** Para versões anteriores à 2.4.3, atualize para a versão 2.4.3 para corrigir o problema. Como solução alternativa temporária, certifique-se de que o cabeçalho `Host` seja sanitizado para corresponder ao aplicativo para o qual a solicitação é roteada. Para aplicativos individuais, considere as seguintes soluções alternativas: 1. Certifique-se de que as solicitações de saída sempre sanitizem o cabeçalho `Host`. 2. Certifique-se de que as solicitações de saída sempre forneçam o nome do host na URL e usem esse nome do host na lista `allowed outbound hosts` em vez de `self`. 3. Ao usar o Spin 2.4, use o encadeamento de serviços interno do aplicativo para solicitações intra-aplicativas.