Vulnerabilidad en HTTPie (CVE-2022-24737)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-200
Revelación de información
Fecha de publicación:
07/03/2022
Última modificación:
07/11/2023
Descripción
HTTPie es un cliente HTTP de línea de comandos. HTTPie tiene el práctico concepto de sesiones, que ayuda a los usuarios a almacenar de forma persistente parte del estado que pertenece a las peticiones salientes y a las respuestas entrantes en el disco para su posterior uso. Antes de la versión 3.1.0, HTTPie no distinguía entre las cookies y los hosts a los que pertenecían. Este comportamiento provocaba la exposición de algunas cookies cuando se producían redireccionamientos originados por el host actual a un sitio web de terceros. Se aconseja a los usuarios que actualicen. No hay soluciones conocidas
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:httpie:httpie:*:*:*:*:*:*:*:* | 3.1.0 (excluyendo) | |
| cpe:2.3:o:fedoraproject:fedora:34:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:35:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:36:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/httpie/httpie/commit/65ab7d5caaaf2f95e61f9dd65441801c2ddee38b
- https://github.com/httpie/httpie/releases/tag/3.1.0
- https://github.com/httpie/httpie/security/advisories/GHSA-9w4w-cpc8-h2fq
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/4QZD2AZOL7XLNZVAV6GDNXYU6MFRU5RS/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/R5VYSYKEKVZEVEBIWAADGDXG4Y3EWCQ3/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/TXFCHGTW3V32GD6GXXJZE5QAOSDT3RTY/