影響: Socks5ProxyAgentを使用する際、undiciは接続プールのオリジンが要求されたオリジンと一致するかどうかを検証せず、異なるオリジン間で単一の接続プールを再利用します。すべてのリクエストは、意図された宛先に関係なく、最初のオリジンに接続されたプールを通じて送信されます。これによりクロスオリジンリクエストのルーティングが発生します。具体的には、オリジンB用の認証情報やリクエストデータがオリジンAに送信され、誤ったオリジンからの応答が信頼され、HTTPSリクエストが静かにHTTPにダウングレードされる可能性があります。影響を受けるユーザーは、Socks5ProxyAgent(直接またはsetGlobalDispatcher経由)を使用し、複数のオリジンへリクエストを行うアプリケーションを使用している方々です。これはundici 7.23.0でPR #4385により導入され、8.1.0までのすべてのバージョンに影響を与えます。修正方法としては、undici v7.26.0またはv8.2.0へアップグレードしてください。回避策としては、オリジンごとに別のSocks5ProxyAgentインスタンスを使用するか、複数のオリジンでSocks5ProxyAgentを使用しないことを推奨します。
|