Requests vulnerable to .netrc credentials leak via malicious URLs

PorEquipe Editorial ApolloRisk junho 4, 2026

Fonte: OSV.dev — Vulnerabilidades Open Source | Jurisdição: Internacional | Tipo: Incidente

Vulnerabilidade registrada no OSV.dev. ID: GHSA-9hjg-9r4m-mvj7. Resumo: Requests vulnerable to .netrc credentials leak via malicious URLs. Detalhes: ### Impact

Due to a URL parsing issue, Requests releases prior to 2.32.4 may leak .netrc credentials to third parties for specific maliciously-crafted URLs.

### Workarounds
For older versions of Requests, use of the .netrc file can be disabled with `trust_env=False` on your Requests Session ([docs](https://requests.readthedocs.io/en/latest/api/#requests.Session.trust_env)).

### References
https. Severidade: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:N/A:N. Afeta: PyPI/requests. Publicado: 2025-06-09. Atualizado: 2026-02-04. CVEs: CVE-2024-47081. References: https://github.com/psf/requests/security/advisories/GHSA-9hjg-9r4m-mvj7, https://nvd.nist.gov/vuln/detail/CVE-2024-47081, https://github.com/psf/requests/pull/6965, https://github.com/psf/requests/commit/96ba401c1296ab1dda74a2365ef36d88f7d144ef, https://github.com/psf/requests.

Vulnerabilidade identificada na biblioteca Python Requests (versões anteriores a 2.32.4), registrada como GHSA-9hjg-9r4m-mvj7 e CVE-2024-47081, com severidade CVSS 3.1 (Alta). A falha reside em um problema de análise de URLs que permite o vazamento de credenciais armazenadas em arquivos .netrc para terceiros quando URLs maliciosamente construídas são processadas. O impacto é limitado a cenários específicos (AC:H – complexidade de acesso alta, UI:R – requer interação do usuário), mas resulta em comprometimento de confidencialidade (C:H). Mitigação disponível: desabilitar o uso de .netrc configurando trust_env=False na sessão Requests. Afeta aplicações que utilizam a biblioteca Requests com autenticação via .netrc e processam URLs de fontes não confiáveis. Recomenda-se atualização imediata para versão 2.32.4 ou superior, ou implementação da mitigação recomendada. Organizações que dependem dessa biblioteca devem revisar políticas de gestão de credenciais e implementar controles adicionais de validação de URLs.

Impacto estimado: Alto | Temas: vulnerabilidade de software, vazamento de credenciais

Fonte original: OSV.dev — Vulnerabilidades Open Source

Inteligência Artificial e Tecnologia | Privacidade e Proteção de Dados

« IA générative et vie privée » : une affiche coproduite par la PIPC et la CNIL pour sensibiliser les utilisateurs d’IA à la protection de leurs données
PorEquipe Editorial ApolloRisk junho 5, 2026

A CNIL (Comissão Nacional de Informática e Liberdades, França) e a PIPC (autoridade de proteção de dados da Coreia do Sul) estabeleceram parceria para produção de material educativo. Desenvolvimento de affiche (cartaz) destinado a sensibilizar usuários de serviços de inteligência artificial…

Ler mais « IA générative et vie privée » : une affiche coproduite par la PIPC et la CNIL pour sensibiliser les utilisateurs d’IA à la protection de leurs données
Segurança Digital e Incidentes

Kimsuky Deploys HTTPSpy, Expands Arsenal with HelloDoor and VS Code Tunnels
PorEquipe Editorial ApolloRisk junho 5, 2026junho 6, 2026

Notícia sobre atividades de ciberataque atribuídas ao grupo Kimsuky, patrocinado pelo Estado norte-coreano. O grupo foi identificado conduzindo operações contra entidades militares e corporativas sul-coreanas entre março e abril de 2026. As campanhas empregaram táticas sofisticadas de engenharia…

Ler mais Kimsuky Deploys HTTPSpy, Expands Arsenal with HelloDoor and VS Code Tunnels
Governança, Compliance e Riscos | Regulação, Legislativo e Jurisprudência

Resolução Anatel nº 784, de 07 de novembro de 2025
PorEquipe Editorial ApolloRisk junho 5, 2026junho 6, 2026

A Resolução Anatel nº 784/2025 altera o Regulamento de Aplicação de Sanções Administrativas (RASA), aprovado originalmente pela Resolução nº 589/2012. A alteração introduz modificações estruturais no regime sancionatório da Agência Nacional de Telecomunicações, incluindo: (1) inclusão de novo…

Ler mais Resolução Anatel nº 784, de 07 de novembro de 2025
Governança, Compliance e Riscos

DoJ Disrupts Southeast Asia Crypto Fraud Networks, Freezes $3.8 Million in Assets
PorEquipe Editorial ApolloRisk junho 5, 2026

O Departamento de Justiça dos EUA anunciou resultados de operação coordenada entre autoridades governamentais e setor privado para combater fraudes cibernéticas e relacionadas a criptomoedas direcionadas a cidadãos americanos. A operação ‘Disruption Week’, iniciada em 18 de maio de 2026,…

Ler mais DoJ Disrupts Southeast Asia Crypto Fraud Networks, Freezes $3.8 Million in Assets
Governança, Compliance e Riscos

Líderes de 14 países da América Latina debatem fortalecimento de agências anticorrupção no Ceará
PorEquipe Editorial ApolloRisk junho 5, 2026

A Controladoria-Geral da União (CGU) e a Academia Internacional Anticorrupção (IACA) promovem encontro multilateral no Ceará reunindo líderes de 14 países da América Latina. O evento congrega autoridades, especialistas e representantes de organismos internacionais com objetivo de aprimorar…

Ler mais Líderes de 14 países da América Latina debatem fortalecimento de agências anticorrupção no Ceará
Regulação, Legislativo e Jurisprudência

Saiba como foi a participação da Susep em evento sobre tecnologia para cooperativas
PorEquipe Editorial ApolloRisk junho 5, 2026junho 9, 2026

Notícia sobre participação da Superintendência de Seguros Privados (Susep) no evento Cooptech Crédito 2026, realizado em 21 de maio em São Paulo. O evento abordou tecnologia aplicada ao setor de cooperativas de crédito. Trata-se de cobertura informativa sobre atividade institucional da autarquia…

Ler mais Saiba como foi a participação da Susep em evento sobre tecnologia para cooperativas

Posts Similares