PT-2021-23108 · Scrapy+2 · Scrapy+2
Gallaecio
·
Publicado
2021-10-06
·
Atualizado
2025-05-05
·
CVE-2021-41125
CVSS v4.0
6.9
Média
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:P/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do Scrapy anteriores à 2.5.1
Versões do Scrapy 1.8 e anteriores
Descrição
A vulnerabilidade afeta o Scrapy ao usar o
HttpAuthMiddleware para autenticação HTTP, fazendo com que todas as solicitações exponham as credenciais ao destino da solicitação. Isso inclui solicitações geradas por componentes do Scrapy, como solicitações robots.txt ou solicitações alcançadas por meio de redirecionamentos.Recomendações
Para versões do Scrapy anteriores à 2.5.1, atualize para o Scrapy 2.5.1 e use o novo atributo de spider
http auth domain para controlar quais domínios têm permissão para receber as credenciais de autenticação HTTP configuradas.Para versões do Scrapy 1.8 e anteriores, atualize para o Scrapy 1.8.1 se a atualização para o Scrapy 2.5.1 não for uma opção.
Se a atualização não for possível, defina as credenciais de autenticação HTTP por solicitação usando a função
w3lib.http.basic auth header para converter as credenciais em um valor que possa ser atribuído ao cabeçalho Authorization da solicitação.Correção
Information Disclosure
Insufficiently Protected Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Linuxmint
Scrapy
Ubuntu