Versões do Scrapy anteriores à 2.6.0

Versões do Scrapy 1.8.0 a 1.8.1

A vulnerabilidade permite que respostas provenientes de nomes de domínio com sufixos públicos contendo um ou mais pontos definam cookies que são incluídos em solicitações a qualquer outro domínio que compartilhe o mesmo sufixo de nome de domínio. Isso pode ser explorado definindo cookies para domínios como example.co.uk, já que seu sufixo de nome de domínio público é co.uk, permitindo que os cookies sejam incluídos em solicitações a outros domínios com o mesmo sufixo.

Para versões do Scrapy anteriores à 1.8.2, atualize para o Scrapy 1.8.2.

Para versões do Scrapy anteriores à 2.6.0, atualize para o Scrapy 2.6.0.

Como solução temporária para versões sem patch, considere desativar os cookies completamente definindo COOKIES ENABLED como False, ou limite os domínios de destino a um subconjunto que não inclua nomes de domínio com um dos sufixos de domínio público afetados.