CVE-2021-32677

Versões do FastAPI anteriores à 0.65.2

O problema está relacionado a um ataque de falsificação de solicitação entre sites (CSRF) no FastAPI, uma estrutura web para a criação de APIs com Python. Nas versões anteriores à 0.65.2, o FastAPI tentava ler a carga da solicitação como JSON, mesmo que o cabeçalho de tipo de conteúdo enviado não estivesse definido como application/json ou um tipo de mídia JSON compatível. Isso permitia que uma solicitação com tipo de conteúdo text/plain contendo dados JSON fosse aceita e que os dados JSON fossem extraídos. O navegador executaria essas solicitações imediatamente, incluindo cookies, e o conteúdo de texto poderia ser uma string JSON que seria analisada e aceita pelo aplicativo FastAPI.

Para resolver o problema, atualize para a versão mais recente do FastAPI.

Se a atualização não for possível, considere adicionar um middleware ou uma dependência que verifique o cabeçalho content-type e aborte a solicitação se ele não for application/json ou outro tipo de conteúdo JSON compatível.