CVE-2024-37891

Nome do software vulnerável e versões afetadas:

versões do urllib3 anteriores à 1.26.19

versões do urllib3 anteriores à 2.2.2

Descrição:

O problema está relacionado ao tratamento do cabeçalho Proxy-Authorization no urllib3, uma biblioteca cliente HTTP para Python. Ao usar o suporte a proxy do urllib3 com ProxyManager, o cabeçalho Proxy-Authorization é enviado apenas ao proxy configurado. No entanto, ao enviar solicitações HTTP sem usar o suporte a proxy do urllib3, é possível configurar acidentalmente o cabeçalho Proxy-Authorization, o que não terá nenhum efeito, mas ainda assim poderá ser enviado em redirecionamentos entre origens. Isso pode potencialmente permitir que um invasor remoto obtenha informações confidenciais. A gravidade desse problema é considerada baixa para quase todos os usuários, pois requer condições específicas para ser explorada: definir o cabeçalho Proxy-Authorization sem usar o suporte a proxy integrado do urllib3, não desativar redirecionamentos HTTP e não usar um servidor de origem HTTPS ou redirecionar para uma origem maliciosa.

Recomendações:

Atualize para a versão 1.26.19 ou 2.2.2 para resolver o problema.

Para versões anteriores à 1.26.19, use o cabeçalho Proxy-Authorization com o ProxyManager do urllib3 como medida de mitigação.

Para versões anteriores à 2.2.2, desative redirecionamentos HTTP usando redirects=False ao enviar solicitações como medida de mitigação.

Como alternativa, não use o cabeçalho Proxy-Authorization como medida de mitigação para versões anteriores à 1.26.19 e 2.2.2.