一、漏洞详情
Python中的urllib.parse模块主要用于解析和操作URL,它可以将URL分解为其组成部分,或者将各个组成部分组合为URL字符串。
近日,监测到Python的urllib.parse组件中存在安全绕过漏洞(CVE-2023-24329),Python多个受影响版本中,当整个URL以空白字符开头时,urllib.parse会出现解析问题(影响主机名和方案的解析)。可以通过提供以空白字符开头的URL来绕过使用阻止列表实现的任何域或协议过滤方法,成功利用该漏洞可能导致任意文件读取、命令执行或SSRF等。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
Python < 3.12
Python 3.11.x < 3.11.4
Python 3.10.x < 3.10.12
Python 3.9.x < 3.9.17
Python 3.8.x < 3.8.17
Python 3.7.x < 3.7.17
三、修复建议
目前该漏洞已经修复,受影响用户可升级到以下版本:
Python >= 3.12
Python 3.11.x >= 3.11.4
Python 3.10.x >= 3.10.12
Python 3.9.x >= 3.9.17
Python 3.8.x >= 3.8.17
Python 3.7.x >= 3.7.17