CVE-2021-32643

Versões do http4s de 0.21.7 a 0.21.23

Versões do http4s de 0.22.0-M1 a 0.22.0-M8

Versão 0.23.0-M1 do http4s

Versões 1.0.0-M1 a 1.0.0-M22 do http4s

A função StaticFile.fromUrl pode revelar a presença de um diretório em um servidor quando o esquema URL não é file:// e a URL aponta para um recurso acessível sob seu esquema e autoridade. A função retorna F[None], indicando ausência de recurso, se url.getFile for um diretório, sem primeiro verificar o esquema ou a autoridade da URL. Se uma conexão de URL com o esquema e a URL retornasse um fluxo, e o caminho na URL existisse como um diretório no servidor, a presença do diretório no servidor poderia ser inferida a partir da resposta 404. O conteúdo e outros metadados sobre o diretório não são expostos.

Para as versões 0.21.7 a 0.21.23, atualize para a versão v0.21.24.

Para as versões 0.22.0-M1 a 0.22.0-M8, atualize para a versão v0.22.0-RC1.

Para a versão 0.23.0-M1, atualize para a versão v0.23.0-RC1.

Para as versões 1.0.0-M1 a 1.0.0-M22, atualize para a versão v1.0.0-M23.

Como solução alternativa temporária, evite chamar StaticFile.fromUrl com URLs que não sejam de arquivos.