一、漏洞详情

Python中的urllib.parse模块主要用于解析和操作URL，它可以将URL分解为其组成部分，或者将各个组成部分组合为URL字符串。

近日，监测到Python的urllib.parse组件中存在安全绕过漏洞（CVE-2023-24329），Python多个受影响版本中，当整个URL以空白字符开头时，urllib.parse会出现解析问题（影响主机名和方案的解析）。可以通过提供以空白字符开头的URL来绕过使用阻止列表实现的任何域或协议过滤方法，成功利用该漏洞可能导致任意文件读取、命令执行或SSRF等。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

Python < 3.12

Python 3.11.x < 3.11.4

Python 3.10.x < 3.10.12

Python 3.9.x < 3.9.17

Python 3.8.x < 3.8.17

Python 3.7.x < 3.7.17

三、修复建议

目前该漏洞已经修复，受影响用户可升级到以下版本：

Python >= 3.12

Python 3.11.x >= 3.11.4

Python 3.10.x >= 3.10.12

Python 3.9.x >= 3.9.17

Python 3.8.x >= 3.8.17

Python 3.7.x >= 3.7.17