PT-2024-6103 · Pypi+10 · Requests+10

Mikeassel

·

Publicado

2024-05-20

·

Atualizado

2026-06-03

·

CVE-2024-35195

CVSS v3.1

5.6

Média

VetorAV:L/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:N
Nome do software vulnerável e versões afetadas
Versões do Requests anteriores à 2.32.0
Descrição
O problema está relacionado à implementação incorreta do fluxo de controle na biblioteca Requests do Python, o que pode permitir que um invasor acesse dados confidenciais. Ao fazer solicitações por meio de uma sessão Requests, se a primeira solicitação for feita com verify=False para desativar a verificação de certificado, todas as solicitações subsequentes para o mesmo host continuarão a ignorar a verificação de certificado, independentemente de alterações no valor de verify. Esse comportamento persistirá durante todo o ciclo de vida da conexão no pool de conexões.
Recomendações
  • Atualize para a versão 2.32.0 ou posterior.
  • Para versões anteriores à 2.32.0, evite definir verify=False para a primeira solicitação a um host ao usar uma sessão Requests.
  • Para versões anteriores à 2.32.0, chame close() nos objetos Session para limpar as conexões existentes se verify=False for usado.

Exploit

Correção

DoS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-670

Identificadores relacionados

ALSA-2025:0012
ALSA-2025:7049
ALSA-2025_0012
ALSA-2025_7049
AZL-42106
AZL-42127
AZL-42145
BDU:2024-07014
CESA-2025_0012
CVE-2024-35195
ECHO-8499-05D3-FB08
GHSA-9WX4-H78V-VM56
INFSA-2025_0012
INFSA-2025_7049
MGASA-2024-0210
OPENSUSE-SU-2024:13999-1
OPENSUSE-SU-2024_1857-1
OPENSUSE-SU-2024_1880-1
OPENSUSE-SU-2024_1937-1
OPENSUSE-SU-2024_1937-2
OPENSUSE-SU-2024_1938-1
RHSA-2024:3781
RHSA-2024:4522
RHSA-2024:9988
RHSA-2025:0012
RHSA-2025:1335
RHSA-2025:2399
RHSA-2025:7049
RHSA-2025_0012
RHSA-2025_7049
RLSA-2025:0012
SUSE-RU-2024:3598-1
SUSE-RU-2024:3599-1
SUSE-RU-2024:3600-1
SUSE-SU-2024:1857-1
SUSE-SU-2024:1880-1
SUSE-SU-2024:1880-2
SUSE-SU-2024:1937-1
SUSE-SU-2024:1937-2
SUSE-SU-2024:1938-1
SUSE-SU-2024:1946-1
SUSE-SU-2024:2068-1
SUSE-SU-2024:2182-1
SUSE-SU-2024_1857-1
SUSE-SU-2024_1880-1
SUSE-SU-2024_1880-2
SUSE-SU-2024_1937-1
SUSE-SU-2024_1937-2
SUSE-SU-2024_1946-1
SUSE-SU-2024_2068-1
SUSE-SU-2025:20034-1
SUSE-SU-2025:20094-1
USN-8344-1

Produtos afetados

Almalinux
Astra Linux
Centos
Debian
Linuxmint
Red Hat
Red Os
Requests
Rocky Linux
Suse
Ubuntu