Pquentin

**Nome do Software Vulnerável e Versões Afetadas** Versões do urllib3 de 1.22 a 2.6.2 **Descrição** O urllib3 é uma biblioteca cliente HTTP em Python. Sua API de streaming é projetada para manipulação eficiente de grandes respostas HTTP, lendo o conteúdo em blocos. A biblioteca descomprime o conteúdo com base no cabeçalho HTTP `Content-Encoding`, como `gzip`, `deflate`, `br` ou `zstd`. Ao usar a API de streaming com redirecionamentos HTTP e `preload content` definido como `False`, versões anteriores à 2.6.3 liam e descomprimiam desnecessariamente o corpo inteiro da resposta, mesmo antes de qualquer método de leitura ser chamado. Os limites de leitura configurados não restringiam a quantidade de dados descomprimidos, criando um risco de bombas de descompressão. Um servidor malicioso poderia explorar isso para causar consumo excessivo de recursos no cliente. Aplicações e bibliotecas são afetadas ao transmitir conteúdo de fontes não confiáveis sem desabilitar redirecionamentos. **Recomendações** Atualize para a versão 2.6.3 ou posterior do urllib3. Se a atualização não for possível imediatamente, desabilite os redirecionamentos definindo `redirect=False` para solicitações a fontes não confiáveis.