漏洞标题
`Cookie` HTTP 头在跨源 redirects 中不删除
漏洞描述信息
跨源重定向不会剥离 `Cookie` HTTP 头部
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
漏洞类别
指向未可信站点的URL重定向(开放重定向)
漏洞标题
`Cookie` HTTP header isn't stripped on cross-origin redirects
漏洞描述信息
urllib3 is a user-friendly HTTP client library for Python. urllib3 doesn't treat the `Cookie` HTTP header special or provide any helpers for managing cookies over HTTP, that is the responsibility of the user. However, it is possible for a user to specify a `Cookie` header and unknowingly leak information via HTTP redirects to a different origin if that user doesn't disable redirects explicitly. This issue has been patched in urllib3 version 1.26.17 or 2.0.5.
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:N
漏洞类别
信息暴露
漏洞标题
urllib3 信息泄露漏洞
漏洞描述信息
urllib3是一款Python HTTP库。该产品具有线程安全连接池、文件发布支持等。 urllib3存在信息泄露漏洞,该漏洞源于在跨源重定向期间不会剥离Cookie请求标头,导致HTTP重定向将信息泄漏到其他源。受影响的产品和版本:urllib3 2至2.0.5版本,1.26.16及之前版本。
CVSS信息
N/A
漏洞类别
信息泄露