PT-2021-2299 · Pypi+4 · Aiohttp+4

G147

+1

·

Publicado

2021-02-25

·

Atualizado

2024-06-15

·

CVE-2021-21330

CVSS v3.1

6.1

Média

VetorAV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
Nome do software vulnerável e versões afetadas
Versões do aiohttp anteriores à 3.7.4
Descrição
O problema está relacionado a uma vulnerabilidade de redirecionamento aberto na biblioteca aiohttp, que pode permitir que um invasor remoto realize ataques de phishing usando um link especialmente criado. Essa vulnerabilidade é causada por um bug no middleware aiohttp.web middlewares.normalize path middleware.
Recomendações
Para versões anteriores à 3.7.4, atualize sua dependência usando o pip da seguinte forma: “pip install aiohttp >= 3.7.4”.
Se a atualização não for uma opção, uma solução alternativa pode ser evitar o uso de aiohttp.web middlewares.normalize path middleware em suas aplicações.

Correção

Open Redirect

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-601

Identificadores relacionados

ALT-PU-2021-1490
AZL-44805
BDU:2021-01528
CVE-2021-21330
DSA-4864-1
GHSA-V6WP-4M6F-GCJG
MGASA-2021-0161
OPENSUSE-SU-2024:13209-1
PYSEC-2021-76
RHSA-2021:4702
SUSE-RU-2022:3275-1
SUSE-SU-2021:1313-1
SUSE-SU-2021_1313-1
USN-5386-1

Produtos afetados

Alt Linux
Linuxmint
Suse
Ubuntu
Aiohttp