CVE-2022-29361

Pallets Werkzeug versões 2.1.0 e anteriores

O problema está relacionado à análise inadequada de solicitações HTTP, o que pode permitir que um invasor execute um ataque de contrabando de solicitações HTTP (HTTP Request Smuggling) usando uma solicitação HTTP maliciosa com várias solicitações incluídas no corpo. Isso pode ocorrer em configurações não suportadas que envolvam o modo de desenvolvimento e um servidor HTTP externo ao projeto Werkzeug. A posição do fornecedor é que esse comportamento só é possível sob condições específicas.

Para as versões 2.1.0 e anteriores, considere desativar o modo de desenvolvimento e usar um servidor HTTP dentro do projeto Werkzeug para minimizar o risco de exploração. Restrinja o acesso à funcionalidade de análise de solicitações HTTP até que um patch esteja disponível. Evite usar solicitações HTTP criadas com várias solicitações incluídas no corpo nos pontos de extremidade da API afetados até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.