CVE-2021-39214

mitmproxy versões 7.0.2 e anteriores

Um cliente ou servidor malicioso pode realizar ataques de contrabando de solicitações HTTP por meio do mitmproxy. Isso significa que um cliente/servidor malicioso poderia contrabandear uma solicitação/resposta através do mitmproxy como parte do corpo da mensagem HTTP de outra solicitação/resposta. Embora uma solicitação contrabandeada ainda seja capturada como parte do corpo de outra solicitação, ela não aparece na lista de solicitações e não passa pelos ganchos de evento habituais do mitmproxy, onde os usuários podem ter implementado verificações personalizadas de controle de acesso ou sanitização de entrada.

Para as versões 7.0.2 e anteriores do mitmproxy, atualize para o mitmproxy 7.0.3 ou superior para corrigir a vulnerabilidade. A menos que o mitmproxy seja usado para proteger um serviço HTTP/1, nenhuma ação é necessária. Como solução alternativa temporária, considere restringir o acesso ao corpo da mensagem HTTP para minimizar o risco de exploração.