CVE-2021-28363

**Nome do software vulnerável e versões afetadas:

urllib3, versões 1.26.x a 1.26.3

Descrição:

O problema diz respeito à omissão da validação do certificado SSL em certos casos envolvendo proxies HTTPS para HTTPS. Especificamente, quando um SSLContext não é fornecido via proxy config, a conexão inicial com o proxy HTTPS não verifica o nome do host do certificado. Isso permite que certificados de servidores diferentes sejam aceitos silenciosamente se forem validados corretamente com o SSLContext padrão do urllib3. O problema afeta usuários que utilizam um proxy HTTPS para emitir solicitações HTTPS sem configurar seu próprio SSLContext.

Recomendações:

Para as versões 1.26.x a 1.26.3 do urllib3, atualize para a versão 1.26.4 ou posterior do urllib3 para resolver o problema.

Como solução alternativa temporária, considere configurar um SSLContext com check hostname=True e passá-lo via proxy config, em vez de confiar no SSLContext padrão.