CVE-2021-23336

python/cpython versões 0 a 3.6.13

python/cpython versões 3.7.0 a 3.7.10

python/cpython versões 3.8.0 a 3.8.8

python/cpython versões 3.9.0 a 3.9.2

O problema está relacionado ao Web Cache Poisoning via urllib.parse.parse qsl e urllib.parse.parse qs, utilizando um vetor chamado “parameter cloaking”. Quando um invasor consegue separar parâmetros de consulta usando um ponto-e-vírgula (;), ele pode causar uma diferença na interpretação da solicitação entre o proxy (executado com configuração padrão) e o servidor. Isso pode resultar em solicitações maliciosas sendo armazenadas em cache como se fossem totalmente seguras. A vulnerabilidade decorre do comportamento inesperado nas funções de tratamento de parâmetros. Por exemplo, no caso do Apache Tomcat, ao analisar dois parâmetros idênticos, ele considera o valor da primeira ocorrência.

Para as versões 0 a 3.6.13, atualize para uma versão posterior à 3.6.13 para resolver o problema.

Para as versões 3.7.0 a 3.7.10, atualize para uma versão posterior à 3.7.10 para resolver o problema.

Para as versões 3.8.0 a 3.8.8, atualize para uma versão posterior à 3.8.8 para resolver o problema.

Para as versões 3.9.0 a 3.9.2, atualize para uma versão posterior à 3.9.2 para resolver o problema.

Como solução alternativa temporária, considere restringir o uso das funções urllib.parse.parse qsl e urllib.parse.parse qs até que um patch esteja disponível. Evite usar o ponto-e-vírgula (;) como separador nos parâmetros de consulta