Sara Gao

Nome do software vulnerável e versões afetadas: Versões do WebOb anteriores à 1.8.8 Descrição: O problema está relacionado ao tratamento dos cabeçalhos HTTP Location no WebOb, onde as funções `urlparse` e `urljoin` podem ser exploradas para redirecionar usuários para URLs arbitrárias. Isso ocorre quando a função `urlparse` trata uma string que começa com `//` como um URI sem esquema, e a função `urljoin` usa o nome do host da segunda parte da string, substituindo o nome do host original da solicitação. Isso pode permitir que um invasor remoto redirecione usuários para sites maliciosos. Recomendações: Para versões do WebOb anteriores à 1.8.8, atualize para a versão 1.8.8 para corrigir a vulnerabilidade. Como solução temporária, considere reescrever qualquer uso da classe `Response` que inclua um `location` para sempre passar um URI completo que inclua o nome do host para o qual o usuário será redirecionado. Restrinja o acesso às funções vulneráveis `urlparse` e `urljoin` para minimizar o risco de exploração. Evite usar a notação `//` no início de URLs para impedir possíveis redirecionamentos para sites maliciosos.