php · jleehr/canto-saas-apiAtenção
jleehr/canto-saas-api: Falha de codificação em buildRequestUrl permite path traversal
Request::buildRequestUrl() inseria variáveis de caminho sem codificação URL, permitindo path traversal ou injeção.
O que mudou
Request::buildRequestUrl() inseria variáveis de caminho sem codificação URL, permitindo path traversal ou injeção. Corrigido na versão 3.0.0 codificando cada segmento com rawurlencode().
Quem isso afeta
Aplicações que usam jleehr/canto-saas-api e passam entrada não confiável como variáveis de caminho para classes de requisição como GetContentDetailsRequest.
O que fazer hoje
Atualize para a versão 3.0.0 ou valide variáveis de caminho não confiáveis contra um padrão de allowlist como ^[A-Za-z0-9_-]+$.
A esteira
Coletado→
Auditado→
Redigido→
Publicado