CVE-2020-35681

**Nome do software vulnerável e versões afetadas:

Django Channels, versões 3.0.0 a 3.0.2

Descrição:

A classe legada channels.http.AsgiHandler no Django Channels não separava corretamente os escopos de solicitação, permitindo potencialmente que invasores remotos obtivessem informações confidenciais de um escopo de solicitação diferente. Isso poderia resultar em uma falha no sistema, mas, com o timing correto, respostas poderiam ser enviadas ao cliente errado, levando a um possível vazamento de identificadores de sessão e outros dados confidenciais. Este problema afeta apenas a classe fornecida pelo Channels legado e não o ASGIHandler semelhante do Django, disponível a partir do Django 3.0.

Recomendações:

Para as versões 3.0.0 a 3.0.2 do Django Channels, atualize para a versão 3.0.3 ou posterior para resolver o problema. Como solução temporária, considere desativar a classe channels.http.AsgiHandler legada até que um patch esteja disponível. Restrinja o acesso a dados confidenciais e identificadores de sessão para minimizar o risco de exploração.