CVE-2026-21441

Nome do Software Vulnerável e Versões Afetadas Versões do urllib3 de 1.22 a 2.6.2

Descrição O urllib3 é uma biblioteca cliente HTTP em Python. Sua API de streaming é projetada para manipulação eficiente de grandes respostas HTTP, lendo o conteúdo em blocos. A biblioteca descomprime o conteúdo com base no cabeçalho HTTP Content-Encoding, como gzip, deflate, br ou zstd. Ao usar a API de streaming com redirecionamentos HTTP e preload content definido como False, versões anteriores à 2.6.3 liam e descomprimiam desnecessariamente o corpo inteiro da resposta, mesmo antes de qualquer método de leitura ser chamado. Os limites de leitura configurados não restringiam a quantidade de dados descomprimidos, criando um risco de bombas de descompressão. Um servidor malicioso poderia explorar isso para causar consumo excessivo de recursos no cliente. Aplicações e bibliotecas são afetadas ao transmitir conteúdo de fontes não confiáveis sem desabilitar redirecionamentos.

Recomendações Atualize para a versão 2.6.3 ou posterior do urllib3. Se a atualização não for possível imediatamente, desabilite os redirecionamentos definindo redirect=False para solicitações a fontes não confiáveis.