0x00 漏洞编号

• CVE-2023-43804

0x01 危险等级

• 中危
  

0x02 漏洞概述

urllib3是Python的一个增强版的HTTP客户端开发包，它增强了Python标准库中的很多特性，包括：线程安全连接池客户端SSL/TLS验证。

0x03 漏洞详情

CVE-2023-43804

漏洞类型：信息泄露

影响：窃取凭证

简述：urllib3不会特殊对待“Cookie” HTTP标头，也不会提供任何通过HTTP管理cookie的帮助程序，这是用户的责任。但是，如果用户没有显式禁用重定向，则用户可能会指定“Cookie”标头，并在不知不觉中通过HTTP重定向将信息泄漏到不同的源。

0x04 影响版本

• 2 < urllib3 <= 2.0.5

• urllib3 <= 1.26.16

0x05 修复建议

目前官方已发布漏洞修复版本，建议用户升级到安全版本：

https://pypi.org/project/urllib3/

原文始发于微信公众号（浅安安全）：漏洞预警 | urllib3信息泄露漏洞