CVE-2020-35884

Versões do crate tiny http até 16/06/2020

Uma falha no crate tiny http permite o contrabando de solicitações HTTP por meio de um cabeçalho Transfer-Encoding malformado. Isso pode levar a problemas de pipelining HTTP e a ataques de contrabando de solicitações devido à análise incorreta do cabeçalho Transfer-Encoding. Ao enviar cabeçalhos Transfer-Encoding inválidos, um invasor pode realizar ataques de contrabando de solicitações HTTP, potencialmente contaminando um cache da web, realizando um ataque XSS ou obtendo informações confidenciais de solicitações que não sejam as suas próprias.

Para versões do crate tiny http até 16/06/2020, considere desativar o pipelining HTTP ou restringir o uso do cabeçalho Transfer-Encoding até que um patch esteja disponível. Evite usar o cabeçalho Transfer-Encoding em solicitações HTTP até que o problema seja resolvido. Como solução alternativa temporária, restrinja o acesso ao endpoint HTTP vulnerável para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.