CVE-2020-28476

**Nome do software vulnerável e versões afetadas:

tornado (versões afetadas não especificadas)

Descrição:

A vulnerabilidade permite o envenenamento de cache da Web por meio de uma técnica chamada “parameter cloaking”. Um invasor pode explorar essa vulnerabilidade separando os parâmetros de consulta com um ponto-e-vírgula (;), causando uma diferença na forma como a solicitação é interpretada entre o proxy e o servidor. Isso pode levar a que solicitações maliciosas sejam armazenadas em cache como se fossem seguras, pois o proxy não reconhece o ponto-e-vírgula como separador e, portanto, não o inclui na chave de cache para um parâmetro sem chave.

Recomendações:

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.