CVE-2022-0391

Python 注入漏洞

  • CNNVD编号:CNNVD-202202-864
  • 危害等级: 高危 
  • CVE编号: CVE-2022-0391
  • 漏洞类型: 注入
  • 发布时间: 2022-02-09
  • 威胁类型: 远程
  • 更新时间: 2022-06-06
  • 厂        商:
  • 漏洞来源:

漏洞简介

Python是Python基金会的一套开源的、面向对象的程序设计语言。该语言具有可扩展、支持模块和包、支持多种平台等特点。

Python 存在注入漏洞,该漏洞允许攻击者输入精心设计的URL,导致注入攻击。以下产品及版本受到影响:3.10.0b1、3.9.5、3.8.11、3.7.11和3.6.14之前的Python版本。

 

https://bugs.python.org/issue43882

Issue 43882: [security] CVE-2022-0391: urllib.parse should sanitize urls containing ASCII newline and tabs. - Python tracker

> In [9]: from urllib.parse import urlsplit
> In [10]: urlsplit("java\nscript:alert('bad')")
> Out[10]: SplitResult(scheme='', netloc='', path="java\nscript:alert('bad')", query='', fragment='')

>> new URL("java\nscript:alert(bad)")
<< URL { href: "javascript:alert(bad)", origin: "null", protocol:
"javascript:", username: "", password: "", host: "", hostname: "", port: "", pathname: "alert(bad)", search: "" 

你可能感兴趣的:(安全,python)