目录

新的 Python URL 解析漏洞可能导致命令执行攻击

Python URL 解析函数中的一个高严重性安全漏洞已被披露,该漏洞可绕过 blocklist 实现的域或协议过滤方法,导致任意文件读取和命令执行。

CERT 协调中心(CERT/CC)在周五的一份公告中说:当整个 URL 都以空白字符开头时,urlparse 就会出现解析问题。"这个问题会影响主机名和方案的解析,最终导致任何拦截列表方法失效"。

该漏洞为 CVE-2023-24329,CVSS 得分为 7.5。安全研究员 Yebo Cao 于 2022 年 8 月发现并报告了该漏洞。该漏洞已在以下版本中得到解决:

  • >= 3.12
  • 3.11.x >= 3.11.4
  • 3.10.x >= 3.10.12
  • 3.9.x >= 3.9.17
  • 3.8.x >= 3.8.17
  • 3.7.x >= 3.7.17

urllib.parse 是一个广泛使用的解析函数,可将 URL 分解为各个组成部分,或将各个组成部分合并为一个 URL 字符串。

CVE-2023-24329 的出现是由于缺乏输入验证,从而导致有可能通过提供以空白字符开头的 URL(例如 " https://youtube[.]com")来绕过 blocklisting 。

该漏洞可以帮助攻击者绕过主机设置的保护措施,同时在多种场景下助力 SSRF 和 RCE。

本文是转载文章,点击查看原文
如有侵权,请联系 xyy@jishuzhan.net 删除
相关推荐
蔗理苦3 小时前
2025-04-05 吴恩达机器学习5——逻辑回归(2):过拟合与正则化
人工智能·python·机器学习·逻辑回归
菜咖咖3 小时前
跨网连接vscode
网络·智能路由器
啥都鼓捣的小yao4 小时前
Python解决“数字插入”问题
python·算法
csdn_aspnet4 小时前
如何在 Linux 上安装 Python
linux·运维·python
jimin_callon4 小时前
VBA第三十八期 VBA自贡分把表格图表生成PPT
开发语言·python·powerpoint·编程·vba·deepseek
christine-rr5 小时前
密码学基础——DES算法
安全·网络安全·密码学·密码
Dream Algorithm5 小时前
什么是宽带拨号?
网络·智能路由器
愚戏师5 小时前
软件工程(应试版)图形工具总结(二)
数据结构·c++·python·软件工程
fanjinhong_85216 小时前
网络安全防御核心原则与实践指南
网络·安全·web安全
NEET_LH6 小时前
金融数据分析(Python)个人学习笔记(6):安装相关软件
python·金融·数据分析