Exposure of Sensitive Information to an Unauthorized Actor in Requests
Fonte: OSV.dev — Vulnerabilidades Open Source | Jurisdição: Internacional | Tipo: Incidente
Vulnerabilidade registrada no OSV.dev. ID: GHSA-652x-xj99-gmcc. Resumo: Exposure of Sensitive Information to an Unauthorized Actor in Requests. Detalhes: Requests (aka python-requests) before 2.3.0 allows remote servers to obtain sensitive information by reading the Proxy-Authorization header in a redirected request.. Severidade: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N. Afeta: PyPI/requests. Publicado: 2022-05-14. Atualizado: 2024-10-21. CVEs: CVE-2014-1830. Aliases: PYSEC-2014-14. References: https://nvd.nist.gov/vuln/detail/CVE-2014-1830, https://github.com/kennethreitz/requests/issues/1885, https://github.com/psf/requests/issues/1885, https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=733108, https://github.com/psf/requests.
Vulnerabilidade de segurança identificada na biblioteca Python Requests (versões anteriores a 2.3.0) que permite a exposição do header Proxy-Authorization em requisições redirecionadas. Um servidor remoto não autorizado pode obter informações sensíveis de autenticação de proxy durante o processo de redirecionamento HTTP. A vulnerabilidade possui score CVSS 4.0, indicando impacto potencial na confidencialidade de dados de autenticação. O registro foi publicado em 14 de maio de 2022 e atualizado em 21 de outubro de 2024, com referência ao CVE-2014-1830 e aliases PYSEC-2014-14. A falha afeta o pacote PyPI requests e foi documentada através de múltiplas referências incluindo NVD NIST, repositório GitHub do projeto e sistema de rastreamento de bugs Debian. Recomenda-se atualização imediata para versão 2.3.0 ou superior para mitigar o risco de vazamento de credenciais de proxy em cenários de redirecionamento.
Fonte original: OSV.dev — Vulnerabilidades Open Source