Uma falha de segurança de alta gravidade foi divulgada na função de análise de URL do Python que poderia ser explorada para contornar métodos de filtragem de domínio ou protocolo implementados com uma lista de bloqueio, resultando, em última análise, em leituras de arquivos arbitrários e execução de comandos.
"urlparse tem um problema de análise quando a URL inteira começa com caracteres em branco", disse o Centro de Coordenação CERT (CERT/CC) em um aviso na sexta-feira.
"Esse problema afeta tanto a análise do nome de host e do esquema, e acabam fazendo com que qualquer método de lista de bloqueio falhe."
A falha foi atribuída ao identificador
CVE-2023-24329
e recebeu uma pontuação CVSS de 7,5.
O pesquisador de segurança Yebo Cao foi creditado por descobrir e relatar o problema em agosto de 2022.
Ele foi corrigido nas seguintes versões -
>= 3.12
3.11.x >= 3.11.4
3.10.x >= 3.10.12
3.9.x >= 3.9.17
3.8.x >= 3.8.17, e
3.7.x >= 3.7.17
urllib.parse é uma função de análise amplamente usada que permite decompor URLs em seus constituintes, ou alternativamente, combinar os componentes em uma string de URL.
CVE-2023-24329
surge como resultado de uma falta de validação de entrada, levando a um cenário em que é possível contornar os métodos de listagem de bloqueio, fornecendo uma URL que começa com caracteres em branco.
"Embora a lista de bloqueio seja considerada uma escolha inferior, há muitos cenários em que a lista de bloqueio ainda é necessária", disse Cao.
"Essa vulnerabilidade ajudaria um invasor a contornar as proteções definidas pelo desenvolvedor para o esquema e o host.
Esta vulnerabilidade pode ser esperada para ajudar no SSRF e RCE em uma ampla gama de cenários."
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...