CVE-2024-45302

Versões do RestSharp anteriores à 112.0.0

O segundo argumento de RestRequest.AddHeader (o valor do cabeçalho) é vulnerável à injeção de CRLF. O mesmo se aplica a RestRequest.AddOrUpdateHeader e RestClient.AddDefaultHeader. A forma como os cabeçalhos HTTP são adicionados a uma solicitação é por meio do método HttpHeaders.TryAddWithoutValidation, que não verifica a presença de caracteres CRLF no valor do cabeçalho. Isso significa que quaisquer cabeçalhos de um objeto RestSharp.RequestHeaders são adicionados à solicitação de forma que fiquem vulneráveis à injeção de CRLF. Em geral, a injeção de CRLF em um cabeçalho HTTP (ao usar HTTP/1.1) significa que é possível injetar cabeçalhos HTTP adicionais ou contrabandear solicitações HTTP inteiras. Se um aplicativo que usa a biblioteca RestSharp passar um valor controlável pelo usuário para um cabeçalho, esse aplicativo se torna vulnerável à injeção de CRLF. Isso não é necessariamente um problema de segurança para um aplicativo de linha de comando, mas se tal código estiver presente em um aplicativo web, ele se torna vulnerável à divisão de solicitações e, consequentemente, à falsificação de solicitação do lado do servidor (SSRF).

Para versões anteriores à 112.0.0, atualize para a versão 112.0.0 ou posterior para resolver o problema. Como solução temporária, considere validar e sanitizar entradas controláveis pelo usuário antes de passá-las para os métodos AddHeader, AddOrUpdateHeader ou AddDefaultHeader para minimizar o risco de injeção de CRLF. Restrinja o acesso a cabeçalhos confidenciais e con