python · zeepAtenção
zeep: SSRF via não aplicação de forbid_external (CVE pendente)
Nas versões 4.0.0 a 4.3.2 do python-zeep, a configuração `forbid_external` era definida mas não aplicada, permitindo SSRF via busca transitiva de recursos exter
O que mudou
Nas versões 4.0.0 a 4.3.2 do python-zeep, a configuração `forbid_external` era definida mas não aplicada, permitindo SSRF via busca transitiva de recursos externos em documentos WSDL/XSD. Corrigido na versão 4.3.3, onde `forbid_external=True` agora bloqueia tais buscas.
Quem isso afeta
Aplicações que usam python-zeep 4.0.0 a 4.3.2 e carregam documentos WSDL/XSD não confiáveis ou dependem de `forbid_external=True` para segurança.
O que fazer hoje
Atualize para python-zeep 4.3.3 ou superior e defina `forbid_external=True` ao carregar documentos de fontes não confiáveis.
A esteira
Coletado→
Auditado→
Redigido→
Publicado