CVE-2021-23384

Versões do koa-remove-trailing-slashes anteriores à 2.0.2

A vulnerabilidade permite um redirecionamento aberto (Open Redirect) por meio do uso de barras duplas finais na URL ao acessar um endpoint vulnerável, como https://example.com//attacker.example/. O código vulnerável está em index.js::removeTrailingSlashes(), já que o servidor web utiliza URLs relativas em vez de URLs absolutas.

Para versões anteriores à 2.0.2, atualize para a versão 2.0.2 ou posterior para resolver o problema. Como solução temporária, considere modificar a função index.js::removeTrailingSlashes() para lidar corretamente com barras duplas finais ou restrinja o acesso a endpoints vulneráveis para minimizar o risco de exploração.