聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
CERT/CC 在上周五发布安全公告指出,“当整个URL以空字符开头时,urlparse 就会存在一个解析问题。该漏洞影响主机名和图式的解析,最终可导致任何拦截清单方法失效。”
发现和报送该漏洞的研究员 Yebo Cao 表示,该漏洞已在如下版本中修复:
-
>= 3.12
-
3.11.x >= 3.11.4
-
3.10.x >= 3.10.12
-
3.9.x >= 3.9.17
-
3.8.x >= 3.8.17 以及
-
3.7.x >= 3.7.17
Urllib.parse 是广泛使用的解析函数,很可能将URL分解为其成分,或者将这些组件组合到 URL 字符串中。该漏洞是由于缺乏输入验证导致的,因此可导致攻击者提供以空字符开头的 URL(如" https://youtube[.]com")来绕过拦截清单方法。
研究员提到,“尽管拦截清单被视为不好的选择,但在很多场景下仍然需要拦截清单。该漏洞有助于攻击者绕过开发人员为图式和主机设置的防护措施。该漏洞在很多场景下可导致 SSRF 和 RCE 后果。”
Python 开发人员提醒:PyPI 木马包假冒流行库发动攻击
https://thehackernews.com/2023/08/new-python-url-parsing-flaw-enables.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):Python URL 解析漏洞可导致命令执行攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论