PT-2022-13195 · Google · Dart Sdk
Publicado
2022-02-18
·
Atualizado
2022-02-26
·
CVE-2022-0451
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Dart SDK anteriores à 2.16.0
Descrição
O Dart SDK contém um HTTPClient na biblioteca dart:io que inclui cabeçalhos de autorização ao lidar com redirecionamentos entre origens. Esses cabeçalhos podem ser definidos explicitamente e conter informações confidenciais. Por padrão, o HttpClient lida com a lógica de redirecionamento. Se uma solicitação for enviada a um site com um cabeçalho de autorização e for redirecionada para o site de um invasor, o site do invasor poderá receber o cabeçalho de autorização, expondo potencialmente informações confidenciais.
Recomendações
Atualize o Dart SDK para a versão 2.16.0 ou posterior.
Correção
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Dart Sdk