CVE-2021-39185

Versões 0.21.26 e anteriores do http4s

Versões 0.22.0 a 0.22.2 do http4s

Versões 0.23.0 e 0.23.1 do http4s

Versões 1.0.0-M1 a 1.0.0-M24 do http4s

A configuração padrão do CORS no http4s é vulnerável a um ataque de reflexão de origem e a um ataque de origem nula. Isso permite que um script malicioso exfiltre informações confidenciais utilizando as credenciais do usuário. O problema está relacionado ao fato de o sinalizador anyOrigin em CORSConfig estar definido como true por padrão, o que permite o compartilhamento de recursos independentemente da configuração allowedOrigins. Além disso, a configuração allowCredentials estar definida como true por padrão permite o compartilhamento de respostas que possam exigir credenciais para informações confidenciais com qualquer origem.

Para as versões 0.21.26 e anteriores, atualize para a versão 0.21.27 ou posterior.

Para as versões 0.22.0 a 0.22.2, atualize para a versão 0.22.3 ou posterior.

Para as versões 0.23.0 e 0.23.1, atualize para a versão 0.23.2 ou posterior.

Para as versões 1.0.0-M1 a 1.0.0-M24, atualize para a versão 1.0.0-M25 ou posterior.

Como solução alternativa temporária, considere definir anyOrigin como false e incluir especificamente origens confiáveis em allowedOrigins, ou desativar credenciais definindo allowCredentials como false.