CVE-2024-42353

Nome do software vulnerável e versões afetadas:

Versões do WebOb anteriores à 1.8.8

Descrição:

O problema está relacionado ao tratamento dos cabeçalhos HTTP Location no WebOb, onde as funções urlparse e urljoin podem ser exploradas para redirecionar usuários para URLs arbitrárias. Isso ocorre quando a função urlparse trata uma string que começa com // como um URI sem esquema, e a função urljoin usa o nome do host da segunda parte da string, substituindo o nome do host original da solicitação. Isso pode permitir que um invasor remoto redirecione usuários para sites maliciosos.

Recomendações:

Para versões do WebOb anteriores à 1.8.8, atualize para a versão 1.8.8 para corrigir a vulnerabilidade. Como solução temporária, considere reescrever qualquer uso da classe Response que inclua um location para sempre passar um URI completo que inclua o nome do host para o qual o usuário será redirecionado. Restrinja o acesso às funções vulneráveis urlparse e urljoin para minimizar o risco de exploração. Evite usar a notação // no início de URLs para impedir possíveis redirecionamentos para sites maliciosos.