CVE-2021-27516

Versões do URI.js anteriores à 1.19.6

O problema diz respeito ao tratamento incorreto de caracteres de barra invertida em determinados esquemas de URI, como http:/, o que pode levar à interpretação incorreta do URI como um caminho relativo. Isso pode resultar em falsificação de nome de host ao usar versões afetadas para determinar o nome de host de uma URL. Os impactos podem incluir contornamento de listas de permissão/bloqueio, ataques SSRF, redirecionamentos abertos ou outros comportamentos indesejados, dependendo do uso da biblioteca e da intenção do invasor. Por exemplo, uma URL como https:/expected-example.com/path pode ser usada para contornar decisões de segurança.

Para versões anteriores à 1.19.6, atualize para a versão 1.19.6 ou posterior para resolver o problema. Como solução alternativa temporária, considere validar URLs para impedir o uso de caracteres de barra invertida em delimitadores de esquema. Restrinja o acesso a URLs que possam ser interpretadas como caminhos relativos para minimizar o risco de exploração. Evite usar o caractere de barra invertida em esquemas de URI até que o problema seja resolvido.