0x00 漏洞编号

• CVE-2023-24329

0x01 危险等级

• 高危
  

0x02 漏洞概述

Python中的urllib.parse模块主要用于解析和操作URL，它可以将URL分解为其组成部分，或者将各个组成部分组合为URL字符串。

0x03 漏洞详情

CVE-2023-24329

漏洞类型：安全绕过

影响：任意文件读取、命令执行或SSRF

简述：Python多个受影响版本中，当整个URL以空白字符开头时，urllib.parse会出现解析问题。可以通过提供以空白字符开头的URL来绕过使用阻止列表实现的任何域或协议过滤方法，成功利用该漏洞可能导致任意文件读取、命令执行或SSRF等。

0x04 影响版本

• Python < 3.12

• Python 3.11.x < 3.11.4

• Python 3.10.x < 3.10.12

• Python 3.9.x < 3.9.17

• Python 3.8.x < 3.8.17

• Python 3.7.x < 3.7.17

0x05 修复建议

目前官方已发布漏洞修复版本，建议用户升级到安全版本：

https://www.python.org/

原文始发于微信公众号（浅安安全）：漏洞预警 | Python URL解析安全绕过漏洞