CVE-2019-9948Python urllib 安全漏洞 发布时间:2019-03-23类型:CANstatus:Candidatephase:Assigned 漏洞描述Python是Python软件基金会的一套开源的、面向对象的程序设计语言。该语言具有可扩展、支持模块和包、支持多种平台等特点。urllib是其中的一个用于处理URL的模块。
Python 2.x版本至2.7.16版本中的urllib存在安全漏洞,该漏洞源于程序支持local_file: scheme。远程攻击者可利用该漏洞绕过保护机制。
urllib in Python 2.x through 2.7.16 supports the local_file: scheme, which makes it easier for remote attackers to bypass protection mechanisms that blacklist file: URIs, as demonstrated by triggering a urllib.urlopen('local_file:///etc/passwd') call. |
请发表评论