O Diário de Analistas
Vol. 2  |  N. 5  |  Pp. 120–121  |  2026  |  ISSN xxxx-xxxx

Vulnerabilidade importante na urllib3 pode permitir vazamento de credenciais em Redirects

Publicado por: Adriano Cansian.
Data de publicação: 13 de maio de 2026.

O GitHub alertou para a vulnerabilidade CVE-2026-44431 [1] que afeta a biblioteca urllib3 [2] (versões >=1.23, <2.7.0), especificamente referente ao manuseio de headers em redirecionamentos devido ao não stripping de cabeçalhos sensíveis.

Ela é extremamente utilizada, com mais de 450 milhões de downloads mensais, estando entre as top 3 bibliotecas Python no PyPI. Quase todo projeto Python moderno a usa direta ou indiretamente, com cerca de 1,5 milhão de repositórios dependentes no GitHub.

A falha pode permitir o vazamento de cabeçalhos sensíveis, como AuthorizationCookie e Proxy-Authorization, quando o código usa o fluxo de redirecionamento cruzado pela API de baixo nível com ProxyManager.connection_from_url().urlopen(..., assert_same_host=False). A correção está na versão 2.7.0 ou superior do urllib3.

CVSS v3: 7.5 (High) – AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

No momento da escrita desse alerta, não existe PoC (Proof of Concept) pública disponível para explorar a CVE-2026-44431

Utilização da urllib3

A urllib3 é uma biblioteca HTTP cliente para Python, projetada para ser robusta e user-friendly, oferecendo recursos ausentes na biblioteca padrão urllib. Ela suporta conexão em pool (para reutilizar conexões), segurança de threads, verificação TLS/SSL, upload de arquivos com encoding multipart, retries automáticos, redirecionamentos e suporte a proxies HTTP/SOCKS.

É muito utilizada para aplicações que fazem requisições HTTP/HTTPS, como APIs, web scraping, integrações com serviços cloud e automação de rede. É a base de bibliotecas populares como requests (que a usa internamente), boto3 (AWS SDK) e pip (gerenciador de pacotes Python).

Impacto prático

O impacto é divulgação de informações sensíveis em aplicações que usam versões do urllib3 anteriores a 2.7.0 e que aceitam redirecionamentos cruzados nesse fluxo de proxy de baixo nível. Em cenários reais, isso pode afetar clientes HTTP, bibliotecas internas e integrações que dependem desse padrão de uso.

Vetor de ataque

1. App → Proxy → Servidor Malicioso (302 → attacker.com)
2. urllib3 segue redirect mantendo Authorization/Cookie
3. Atacante captura credenciais/token de sessão

Versões afetadas

As fontes consultadas indicam afetados os pacotes urllib3 em versões >=1.23 e <2.7.0. A vulnerabilidade recebeu advisory do GitHub com o identificador GHSA-qccp-gfcp-xxvc e o CVE 2026-44431.

Verificação Imediata

Mitigação

A ação recomendada é atualizar para urllib3 2.7.0 ou posterior.

pip install --upgrade "urllib3>=2.7.0"
pip check # Validar dependências

Se a atualização imediata não for possível, a mitigação é evitar esse fluxo de redirecionamento via API de baixo nível e preferir ProxyManager.request() ou desabilitar redirecionamentos cruzados nesse caminho.

Referências

[1] GitHub Advisory urllib3 – ID GHSA-qccp-gfcp-xxvc

[2] urllib3 Projet – https://pypi.org/project/urllib3/

[3] CVE-2026-44431 (Status: “reserved” em 13/5/2026)

Tags: , , , , , .

Categorias: Alerta, CVE, Falhas, Github, Patches, Python.

Adriano Cansian Adriano Mauro Cansian, Doutor em Física Computacional e Professor Associado e pesquisador da UNESP - Universidade Estadual Paulista, possui 30 anos de experiência em pesquisa, desenvolvimento e ensino de segurança cibernética. Fundador e coordenador do Laboratório ACME! Cybersecurity Research, e revisor das revistas "Computers & Security" e "International Journal of Forensic Computer Science", consultor e membro de vários comitês e organizações técnicas para promover a pesquisa em segurança da informação, além de atuar como voluntário em organizações de governança da Internet.