CVE-2022-24766

mitmproxy versões 7.0.4 e anteriores

Um cliente ou servidor mal-intencionado pode realizar ataques de contrabando de solicitações HTTP por meio do mitmproxy. Isso significa que um cliente/servidor mal-intencionado poderia contrabandear uma solicitação/resposta através do mitmproxy como parte do corpo da mensagem HTTP de outra solicitação/resposta. Enquanto o mitmproxy veria apenas uma solicitação, o servidor de destino veria várias solicitações. Uma solicitação contrabandeada ainda é capturada como parte do corpo de outra solicitação, mas não aparece na lista de solicitações e não passa pelos ganchos de evento habituais do mitmproxy, onde os usuários podem ter implementado verificações personalizadas de controle de acesso ou sanitização de entrada.

Para as versões 7.0.4 e anteriores do mitmproxy, atualize para o mitmproxy 8.0.0 ou superior para corrigir a vulnerabilidade. A menos que o mitmproxy seja usado para proteger um serviço HTTP/1, nenhuma ação é necessária.