Python URL 解析漏洞可导致命令执行攻击

admin
admin
admin
138635
文章
114
评论
2023年8月14日20:03:52评论90 views字数 1046阅读3分29秒阅读模式

Python URL 解析漏洞可导致命令执行攻击 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

Python URL 解析函数中存在一个高危漏洞,可用于绕过通过拦截清单实现的域或协议过滤方法,从而导致任意文件读取和命令执行后果。该漏洞的编号为CVE-2023-24329,CVSS评分为7.5。
Python URL 解析漏洞可导致命令执行攻击

CERT/CC 在上周五发布安全公告指出,“当整个URL以空字符开头时,urlparse 就会存在一个解析问题。该漏洞影响主机名和图式的解析,最终可导致任何拦截清单方法失效。”

发现和报送该漏洞的研究员 Yebo Cao 表示,该漏洞已在如下版本中修复:

  •  >= 3.12

  • 3.11.x >= 3.11.4

  • 3.10.x >= 3.10.12

  • 3.9.x >= 3.9.17

  • 3.8.x >= 3.8.17 以及

  • 3.7.x >= 3.7.17

Urllib.parse 是广泛使用的解析函数,很可能将URL分解为其成分,或者将这些组件组合到 URL 字符串中。该漏洞是由于缺乏输入验证导致的,因此可导致攻击者提供以空字符开头的 URL(如" https://youtube[.]com")来绕过拦截清单方法。

研究员提到,“尽管拦截清单被视为不好的选择,但在很多场景下仍然需要拦截清单。该漏洞有助于攻击者绕过开发人员为图式和主机设置的防护措施。该漏洞在很多场景下可导致 SSRF 和 RCE 后果。”



代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com








推荐阅读

奇安信入选全球《静态应用安全测试全景图》代表厂商

奇安信入选全球《软件成分分析全景图》代表厂商

恶意 PyPI 包通过编译后的 Python 代码绕过检测

Python 开发人员提醒:PyPI 木马包假冒流行库发动攻击

Python 中存在原型污染漏洞变体

W4SP Stealer瞄准Python开发人员,发动供应链攻击

这个Python 0day 已存在15年,已影响超过35万个开源项目



原文链接

https://thehackernews.com/2023/08/new-python-url-parsing-flaw-enables.html


题图:Pixabay License


本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




Python URL 解析漏洞可导致命令执行攻击
Python URL 解析漏洞可导致命令执行攻击

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   Python URL 解析漏洞可导致命令执行攻击 觉得不错,就点个 “在看” 或 "” 吧~

原文始发于微信公众号(代码卫士):Python URL 解析漏洞可导致命令执行攻击

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年8月14日20:03:52
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Python URL 解析漏洞可导致命令执行攻击https://cn-sec.com/archives/1954708.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息