CVE-2022-0639

Versões do url-parse anteriores à 1.5.7

A vulnerabilidade permite a contornar a autorização por meio de uma chave controlada pelo usuário. Uma URL especialmente criada com o símbolo ‘@’, mas com informações de usuário vazias e sem nome de host, quando analisada com o url-parse, retornará o href incorreto. Isso pode levar a decisões de segurança incorretas se os atributos ‘hostname’ ou ‘origin’ da saída do url-parse forem usados em decisões de segurança e o atributo ‘href’ final da saída for então usado para fazer uma solicitação.

Para versões anteriores à 1.5.7, atualize para a versão 1.5.7 ou posterior para resolver o problema. Como solução alternativa temporária, considere validar os atributos ‘hostname’ e ‘origin’ da saída do url-parse para garantir que correspondam aos valores esperados antes de usar o atributo ‘href’ para fazer uma solicitação. Restrinja o uso da função parse() com entradas não confiáveis até que o problema seja resolvido.