CVE-2020-26291

Versões do URI.js anteriores à 1.19.4

O nome do host pode ser falsificado usando o caractere barra invertida (``) seguido pelo caractere arroba (@). Se o nome do host for usado em decisões de segurança, a decisão pode ser incorreta. Dependendo do uso da biblioteca e da intenção do invasor, os impactos podem incluir contornamento de listas de permissão/bloqueio, ataques SSRF, redirecionamentos abertos ou outros comportamentos indesejados. Por exemplo, a URL https://expected-example.com@observed-example.com retornará incorretamente observed-example.com se for usada uma versão afetada. As versões corrigidas retornam corretamente expected-example.com. As versões corrigidas correspondem ao comportamento de outros analisadores que implementam a especificação de URL do WHATWG, incluindo navegadores da web e a classe de URL integrada do Node.

Para versões anteriores à 1.19.4, atualize para a versão 1.19.4 para resolver o problema. Como solução alternativa temporária, considere evitar o uso de caracteres de barra invertida (``) seguidos por um caractere de arroba (@) em URLs até que um patch seja aplicado. Restrinja o acesso a recursos confidenciais com base no nome do host para minimizar o risco de exploração. Evite usar o nome do host em decisões de segurança se ele não for validado adequadamente.