Home Sociedad Nueva falla de análisis de URL de Python podría permitir ataques de...

Nueva falla de análisis de URL de Python podría permitir ataques de ejecución de comandos

Se ha revelado una falla de seguridad de alta gravedad en la función de análisis de URL de Python que podría explotarse para eludir los métodos de filtrado de protocolos o dominios implementados con una lista de bloqueo, lo que en última instancia daría como resultado lecturas de archivos y ejecución de comandos arbitrarios.

A la falla se le ha asignado el identificador CVE-2023-24329 y tiene una puntuación CVSS de 7,5. Al investigador de seguridad Yebo Cao se le atribuye el descubrimiento e informe del problema en agosto de 2022. Se ha abordado en las siguientes versiones:

>= 3.12
3.11.x >= 3.11.4
3.10.x >= 3.10.12
3.9.x >= 3.9.17
3.8.x >= 3.8.17, y
3.7.x >= 3.7.17

urllib.parse es una función de análisis ampliamente utilizada que permite desglosar las URL en sus componentes o, alternativamente, combinar los componentes en una cadena de URL.

CVE-2023-24329 surge como resultado de la falta de validación de entrada, lo que lleva a un escenario en el que es posible eludir los métodos de bloqueo proporcionando una URL que comienza con caracteres en blanco (por ejemplo, ” https://youtube[.] com”).