WebOb 1.8.10 corrige bypass de segurança na normalização do cabeçalho Location

WebOb 1.8.10 corrige um bypass de segurança na normalização do cabeçalho Location, onde caracteres ASCII como tabulação, retorno de carro e nova linha podiam ser usados para contornar correções anteriores (GHSA-mg3v-6m49-jhp3) e redirecionar usuários para hosts controlados por atacantes.

Aplicações que usam a classe Response do WebOb com um cabeçalho location que pode ser definido a partir de entrada do usuário ou fontes não confiáveis.

Atualize para WebOb 1.8.10 ou superior, ou garanta que os alvos de redirecionamento sejam validados para começar com um esquema (ex.: http:// ou https://) antes de atribuir a Response.location.