「Python」のURL解析に脆弱性 - ブロックリスト回避のおそれ
「Python」においてURLの解析に広く利用される標準ライブラリ「urllib.parse」の既知の脆弱性について注意が呼びかけられている。
空白文字で始まるURLにおいてブロックリストメソッドを回避できる脆弱性「CVE-2023-24329」について、CERT/CCが注意を呼びかけたもの。ホスト名、スキームの双方において影響を受ける。
ブラックリストにあるドメインやプロトコルのフィルタリングをバイパスし、本来アクセスが制限されるべきサイトへのアクセスやプロトコルを指定した制限などを回避することが可能。任意のファイルの読み取り、任意のコマンドの実行、サーバサイドリクエストフォージェリ(SSRF)などにつながるおそれもある。
米国立標準技術研究所(NIST)の脆弱性データベース「NVD」において、共通脆弱性評価システム「CVSSv3.1」のベーススコアは「7.5」、重要度は4段階中2番目にあたる「高(High)」とレーティングされている。
同脆弱性は、6月にリリースされた「Python 3.11.4」「同3.10.12」「同3.9.17」「同3.8.17」「同3.7.17」にて修正された。また10月に正式版の公開が予定されている「同3.12」においても修正が反映される予定。
(Security NEXT - 2023/08/17 )
ツイート
PR
関連記事
法人の不正送金被害が約8.6倍 - 金額ベースで個人を上回る
テゲ宮崎の通販サイト、管理ページが認証なしで閲覧可能に
サイバー攻撃でシステム障害が発生 - ヤマダコーポレーション
「IBM WebSphere Application Server」にRCE脆弱性 - 暫定パッチ公開
先週注目された記事(2025年6月22日〜2025年6月28日)
「MS Edge」にアップデート - 固有の脆弱性などにも対処
教員採用選考受検者の自己申告用紙が所在不明に - 新潟県
他県で実施した中学校自然教室で生徒名簿が所在不明に - 横浜市
誤った住所へ会員証を送付、システムトラブルで - JAF
Salesforceのローコード開発ツールに脆弱性 - 設定リスクの指摘も