PT-2022-20519 · Guzzle · Guzzle
Grahamcampbell
·
Publicado
2022-06-21
·
Atualizado
2023-05-22
·
CVE-2022-31091
CVSS v3.1
7.7
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Guzzle anteriores à 6.5.8
Versões do Guzzle anteriores à 7.4.5
Descrição
O Guzzle, um cliente HTTP extensível para PHP, apresenta uma falha em que os cabeçalhos
Authorization e Cookie nas solicitações são informações confidenciais. Nas versões afetadas, ao fazer uma solicitação que responde com um redirecionamento para uma URI com uma porta diferente, se o redirecionamento for seguido, os cabeçalhos Authorization e Cookie devem ser removidos da solicitação antes de prosseguir. Anteriormente, apenas alterações no host ou no esquema acionavam essa remoção.Recomendações
Para usuários do Guzzle 7, atualize para a versão 7.4.5 o mais rápido possível.
Para usuários de qualquer série anterior do Guzzle, atualize para a versão 6.5.8 ou 7.4.5.
Como solução alternativa temporária, considere usar seu próprio middleware de redirecionamento em vez do padrão, caso não seja possível atualizar.
Se redirecionamentos não forem necessários ou esperados, considere desativá-los completamente.
Exploit
Correção
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Guzzle