关于Python URL解析安全绕过漏洞(CVE-2023-24329)的预警提示

发布时间: 2023-08-24      访问次数: 513

一、漏洞详情

Python中的urllib.parse模块主要用于解析和操作URL,它可以将URL分解为其组成部分,或者将各个组成部分组合为URL字符串。

近日,监测到Pythonurllib.parse组件中存在安全绕过漏洞(CVE-2023-24329),Python多个受影响版本中,当整个URL以空白字符开头时,urllib.parse会出现解析问题(影响主机名和方案的解析)。可以通过提供以空白字符开头的URL来绕过使用阻止列表实现的任何域或协议过滤方法,成功利用该漏洞可能导致任意文件读取、命令执行或SSRF等。

建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。

二、影响范围

Python < 3.12

Python 3.11.x < 3.11.4

Python 3.10.x < 3.10.12

Python 3.9.x < 3.9.17

Python 3.8.x < 3.8.17

Python 3.7.x < 3.7.17

三、修复建议

目前该漏洞已经修复,受影响用户可升级到以下版本:

Python >= 3.12

Python 3.11.x >= 3.11.4

Python 3.10.x >= 3.10.12

Python 3.9.x >= 3.9.17

Python 3.8.x >= 3.8.17

Python 3.7.x >= 3.7.17