CVE-2021-41124

Versões do scrapy-splash anteriores à 0.8.0

A vulnerabilidade afeta usuários que utilizam o HttpAuthMiddleware para autenticação Splash, fazendo com que solicitações não-Splash exponham credenciais ao destino da solicitação. Isso inclui solicitações robots.txt enviadas pelo Scrapy quando a configuração ROBOTSTXT OBEY está definida como True.

Atualize para o scrapy-splash 0.8.0 e use as novas configurações SPLASH USER e SPLASH PASS para definir as credenciais de autenticação Splash com segurança.

Se não for possível atualizar, defina suas credenciais de solicitação Splash individualmente para cada solicitação usando o parâmetro de solicitação splash headers, em vez de defini-las globalmente usando o HttpAuthMiddleware.

Como alternativa, certifique-se de que todas as suas solicitações passem pelo Splash desativando o middleware robots.txt.