Vulnerabilidad en Vapor (CVE-2024-21631)

Vapor es un framework web HTTP para Swift. Antes de la versión 4.90.0, la función `vapor_urlparser_parse` de Vapor utiliza índices `uint16_t` al analizar los componentes de un URI, lo que puede causar desbordamientos de enteros al analizar entradas que no son de confianza. Esta vulnerabilidad no afecta a Vapor directamente, pero podría afectar a las aplicaciones que dependen del tipo de URI para validar la entrada del usuario. El tipo URI se utiliza en varios lugares de Vapor. Un desarrollador puede decidir utilizar URI para representar una URL en su aplicación (especialmente si esa URL luego se pasa al Cliente HTTP) y confiar en sus propiedades y métodos públicos. Sin embargo, es posible que el URI no pueda analizar correctamente una URL válida (aunque anormalmente larga), debido a que los rangos de cadenas se convierten a enteros de 16 bits. Un atacante puede utilizar este comportamiento para engañar a la aplicación para que acepte una URL a un destino que no es de confianza. Al rellenar el número de puerto con ceros, un atacante puede provocar un desbordamiento de enteros cuando se analiza la autoridad de la URL y, como resultado, falsificar el host. La versión 4.90.0 contiene un parche para este problema. Como workaround, valide la entrada del usuario antes de analizarla como URI o, si es posible, utilice las utilidades `URL` y `URLComponents` de Foundation.