Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-09780

Опубликовано: 18 июн. 2025
Источник: fstec
CVSS3: 5.3
CVSS2: 4.9
EPSS Низкий

Описание

Уязвимость HTTP библиотеки Urllib3 языка программирования Python связана с переадресацией URL на ненадежный сайт. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, перенаправлять пользователей на произвольный URL-адрес

Вендор

Red Hat Inc.
Сообщество свободного программного обеспечения
Canonical Ltd.
Andrey Petrov

Наименование ПО

Red Hat Enterprise Linux
Red Hat Quay
Debian GNU/Linux
Red Hat OpenShift Container Platform
Red Hat Satellite
Network Observability Operator
Migration Toolkit for Virtualization
Red Hat Ansible Automation Platform
OpenShift Pipelines
Red Hat Developer Hub
Red Hat OpenShift AI (RHOAI)
Red Hat Enterprise Linux AI
Red Hat OpenShift Lightspeed
Red Hat Trusted Artifact Signer
Ubuntu
Red Hat AI Inference Server
Openshift Service Mesh
Red Hat Discovery
Builds for Red Hat OpenShift
cert-manager Operator for Red Hat OpenShift
Confidential Compute Attestation
Custom Metric Autoscaler operator for Red Hat Openshift
Multiarch Tuning Operator
urllib3

Версия ПО

7 (Red Hat Enterprise Linux)
8 (Red Hat Enterprise Linux)
3 (Red Hat Quay)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
4 (Red Hat OpenShift Container Platform)
6 (Red Hat Satellite)
9 (Red Hat Enterprise Linux)
- (Network Observability Operator)
- (Migration Toolkit for Virtualization)
2 (Red Hat Ansible Automation Platform)
- (OpenShift Pipelines)
- (Red Hat Developer Hub)
- (Red Hat OpenShift AI (RHOAI))
- (Red Hat Enterprise Linux AI)
- (Red Hat OpenShift Lightspeed)
- (Red Hat Trusted Artifact Signer)
25.04 (Ubuntu)
10 (Red Hat Enterprise Linux)
- (Red Hat AI Inference Server)
3 (Openshift Service Mesh)
1 (Red Hat Discovery)
- (Builds for Red Hat OpenShift)
- (cert-manager Operator for Red Hat OpenShift)
- (Confidential Compute Attestation)
- (Custom Metric Autoscaler operator for Red Hat Openshift)
- (Multiarch Tuning Operator)
от 2.2.0 до 2.5.0 (urllib3)

Тип ПО

Операционная система
Прикладное ПО информационных систем
ПО виртуализации/ПО виртуального программно-аппаратного средства
Сетевое программное средство
Сетевое средство
ПО программно-аппаратного средства

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 7
Red Hat Inc. Red Hat Enterprise Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
Red Hat Inc. Red Hat Enterprise Linux 9
Red Hat Inc. Red Hat Enterprise Linux AI -
Canonical Ltd. Ubuntu 25.04
Red Hat Inc. Red Hat Enterprise Linux 10

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,9)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 5,3)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Использование рекомендаций:
Для Urllib3:
https://github.com/urllib3/urllib3/commit/7eb4a2aafe49a279c29b6d1f0ed0f42e9736194f
https://github.com/urllib3/urllib3/security/advisories/GHSA-48p4-8xcf-vxj5
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2025-50182
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2025-50182
Для Ubuntu:
https://ubuntu.com/security/CVE-2025-50182

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 2%
0.00014
Низкий

5.3 Medium

CVSS3

4.9 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2025-50182

CVSS3: 5.3
ubuntu
5 месяцев назад

urllib3 is a user-friendly HTTP client library for Python. Starting in version 2.2.0 and prior to 2.5.0, urllib3 does not control redirects in browsers and Node.js. urllib3 supports being used in a Pyodide runtime utilizing the JavaScript Fetch API or falling back on XMLHttpRequest. This means Python libraries can be used to make HTTP requests from a browser or Node.js. Additionally, urllib3 provides a mechanism to control redirects, but the retries and redirect parameters are ignored with Pyodide; the runtime itself determines redirect behavior. This issue has been patched in version 2.5.0.

redhat логотип

CVE-2025-50182

CVSS3: 5.3
redhat
5 месяцев назад

urllib3 is a user-friendly HTTP client library for Python. Starting in version 2.2.0 and prior to 2.5.0, urllib3 does not control redirects in browsers and Node.js. urllib3 supports being used in a Pyodide runtime utilizing the JavaScript Fetch API or falling back on XMLHttpRequest. This means Python libraries can be used to make HTTP requests from a browser or Node.js. Additionally, urllib3 provides a mechanism to control redirects, but the retries and redirect parameters are ignored with Pyodide; the runtime itself determines redirect behavior. This issue has been patched in version 2.5.0.

nvd логотип

CVE-2025-50182

CVSS3: 5.3
nvd
5 месяцев назад

urllib3 is a user-friendly HTTP client library for Python. Starting in version 2.2.0 and prior to 2.5.0, urllib3 does not control redirects in browsers and Node.js. urllib3 supports being used in a Pyodide runtime utilizing the JavaScript Fetch API or falling back on XMLHttpRequest. This means Python libraries can be used to make HTTP requests from a browser or Node.js. Additionally, urllib3 provides a mechanism to control redirects, but the retries and redirect parameters are ignored with Pyodide; the runtime itself determines redirect behavior. This issue has been patched in version 2.5.0.

msrc логотип

CVE-2025-50182

msrc
2 месяца назад

urllib3 does not control redirects in browsers and Node.js

debian логотип

CVE-2025-50182

CVSS3: 5.3
debian
5 месяцев назад

urllib3 is a user-friendly HTTP client library for Python. Starting in ...

EPSS

Процентиль: 2%
0.00014
Низкий

5.3 Medium

CVSS3

4.9 Medium

CVSS2