CVE-2021-3647

Versões do URI.js anteriores à 1.19.7

A vulnerabilidade permite o redirecionamento de URLs para sites não confiáveis por meio do uso de uma combinação dos caracteres barra invertida (``) e barra (/) como parte do delimitador do esquema. Isso pode levar a decisões de segurança incorretas caso o nome do host seja utilizado nessas decisões. Os impactos podem incluir contornamento de listas de permissão/bloqueio, ataques SSRF, redirecionamentos abertos ou outros comportamentos indesejados. Por exemplo, uma URL como https:///expected-example.com/path pode ser usada para falsificar o nome do host.

Para versões anteriores à 1.19.7, atualize para a versão 1.19.7 ou posterior para corrigir o problema. Como solução temporária, considere validar URLs manualmente para evitar a análise incorreta do nome de host até que a atualização seja aplicada. Restrinja o acesso a áreas sensíveis que dependem do nome de host para decisões de segurança, a fim de minimizar o risco de exploração.