Restsharp · Restsharp · CVE-2024-45302
**Nome do software vulnerável e versões afetadas**
Versões do RestSharp anteriores à 112.0.0
**Descrição**
O segundo argumento de `RestRequest.AddHeader` (o valor do cabeçalho) é vulnerável à injeção de CRLF. O mesmo se aplica a `RestRequest.AddOrUpdateHeader` e `RestClient.AddDefaultHeader`. A forma como os cabeçalhos HTTP são adicionados a uma solicitação é por meio do método `HttpHeaders.TryAddWithoutValidation`, que não verifica a presença de caracteres CRLF no valor do cabeçalho. Isso significa que quaisquer cabeçalhos de um objeto `RestSharp.RequestHeaders` são adicionados à solicitação de forma que fiquem vulneráveis à injeção de CRLF. Em geral, a injeção de CRLF em um cabeçalho HTTP (ao usar HTTP/1.1) significa que é possível injetar cabeçalhos HTTP adicionais ou contrabandear solicitações HTTP inteiras. Se um aplicativo que usa a biblioteca RestSharp passar um valor controlável pelo usuário para um cabeçalho, esse aplicativo se torna vulnerável à injeção de CRLF. Isso não é necessariamente um problema de segurança para um aplicativo de linha de comando, mas se tal código estiver presente em um aplicativo web, ele se torna vulnerável à divisão de solicitações e, consequentemente, à falsificação de solicitação do lado do servidor (SSRF).
**Recomendações**
Para versões anteriores à 112.0.0, atualize para a versão 112.0.0 ou posterior para resolver o problema. Como solução temporária, considere validar e sanitizar entradas controláveis pelo usuário antes de passá-las para os métodos `AddHeader`, `AddOrUpdateHeader` ou `AddDefaultHeader` para minimizar o risco de injeção de CRLF. Restrinja o acesso a cabeçalhos confidenciais e con