CVE-2020-35863

Versões do hyper anteriores à 0.12.34

Uma falha no hyper permite que ocorra o contrabando de solicitações HTTP, podendo levar à execução remota de código em determinadas situações, como quando um servidor HTTP está em execução na interface de loopback. Isso é possível porque as versões vulneráveis do hyper permitem que solicitações GET tenham corpos mesmo sem um cabeçalho Transfer-Encoding ou Content-Length, contrariando a especificação HTTP 1.1. Como resultado, o corpo de tal solicitação pode ser interpretado como uma solicitação HTTP separada, permitindo que um invasor injete solicitações com cabeçalhos que, de outra forma, seriam proibidos. Isso pode ser usado para contornar restrições CORS e, em combinação com outras vulnerabilidades, pode permitir a execução remota de código.

Para versões anteriores à 0.12.34, atualize para a versão 0.12.34 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso de solicitações HTTP com corpos em solicitações GET até que a atualização seja aplicada.