Requests
Уязвимости
7
Эксплуатируемые
0
Макс. CVSS
6.1
Макс. EPSS
0.07443
Распределение по критичности
Критический
0
Высокий
0
Средний
4
Низкий
3
Также сопоставлено как (исходные строки): requests
Топ уязвимостей
CVE-2023-32681Requests – это библиотека HTTP. Начиная с версии Requests 2.3.0, Requests начала утекать заголовки Proxy-Authorization на целевые серверы при перенаправлении на HTTPS- конечную точку. Это является результатом того, как мы используем `rebuild_proxies` для повторного прикрепления заголовка `Proxy-Authorization` к запросам. Для HTTP-соединений, отправленных через туннель, прокси будет идентифицировать заголовок в самом запросе и удалять его перед передачей на целевой сервер. Однако, когда отправляется через HTTPS, заголовок `Proxy-Authorization` должен быть отправлен в запросе CONNECT, так как прокси не видит туннелированный запрос. Это приводит к тому, что Requests непреднамеренно пересылает учетные данные прокси на целевой сервер, что позволяет злоумышленнику потенциально экстрагировать конфиденциальную информацию. Эта проблема была исправлена в версии 2.31.0.
CVE-2024-35195Requests — это HTTP-библиотека. До версии 2.32.0, при выполнении запросов через `Session`, если первый запрос выполняется с `verify=False`, чтобы отключить проверку сертификата, все последующие запросы к тому же хосту будут продолжать игнорировать проверку сертификата независимо от изменений значения `verify`. Это поведение будет сохраняться на протяжении всего жизненного цикла соединения в пуле соединений. Эта уязвимость исправлена в версии 2.32.0.
CVE-2024-47081Библиотека Requests является библиотекой HTTP. Из-за ошибки в разборе URL, версии Requests до 2.32.4 могут передавать учетные данные .netrc третьим лицам при обработке специально созданных URL [1]. Пользователям рекомендуется обновиться до версии 2.32.4, чтобы получить исправление. Для более старых версий Requests использование файла .netrc можно отключить с помощью `trust_env=False` в объекте Session Requests [2].
Источники:
- [1] https://github.com/psf/requests/security/advisories/GHSA-9hjg-9r4m-mvj7
- [2] https://requests.readthedocs.io/en/latest/api/#requests.Session.trust_env
CVE-2015-2296Функция resolve_redirects в sessions.py в requests версий 2.1.0 - 2.5.3 позволяет удаленным злоумышленникам проводить атаки с фиксацией сессии через cookie без значения host в перенаправлении.
CVE-2018-18074Пакет Requests до версии 2.20.0 для Python отправляет заголовок HTTP Authorization на URI http при получении перенаправления https-to-http с тем же именем хоста, что облегчает удаленным злоумышленникам обнаружение учетных данных путем прослушивания сети.
CVE-2014-1830Requests (aka python-requests) до версии 2.3.0 позволяет удаленным серверам получать конфиденциальную информацию, считывая заголовок Proxy-Authorization в перенаправленном запросе.
CVE-2014-1829Requests (aka python-requests) до версии 2.3.0 позволяет удаленным серверам получать пароль netrc, считывая заголовок Authorization в перенаправленном запросе.