Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-09791

Опубликовано: 18 июн. 2025
Источник: fstec
CVSS3: 5.3
CVSS2: 4.9
EPSS Низкий

Описание

Уязвимость HTTP библиотеки Urllib3 языка программирования Python связана с переадресацией URL на ненадежный сайт. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, перенаправлять пользователей на произвольный URL-адрес

Вендор

Red Hat Inc.
Canonical Ltd.
Сообщество свободного программного обеспечения
ООО «Ред Софт»
АО «ИВК»
Andrey Petrov
АО «СберТех»

Наименование ПО

Red Hat Enterprise Linux
Ubuntu
Red Hat Quay
Debian GNU/Linux
РЕД ОС
Red Hat OpenShift Container Platform
Red Hat Satellite
Network Observability Operator
Migration Toolkit for Virtualization
OpenShift Serverless
Red Hat Ansible Automation Platform
АЛЬТ СП 10
Red Hat Developer Hub
Red Hat OpenShift AI (RHOAI)
Red Hat Enterprise Linux AI
Red Hat Trusted Artifact Signer
Red Hat AI Inference Server
Openshift Service Mesh
Red Hat Discovery
Builds for Red Hat OpenShift
cert-manager Operator for Red Hat OpenShift
Confidential Compute Attestation
Custom Metric Autoscaler operator for Red Hat Openshift
Multiarch Tuning Operator
urllib3
Platform V SberLinux OS Server

Версия ПО

7 (Red Hat Enterprise Linux)
16.04 LTS (Ubuntu)
18.04 LTS (Ubuntu)
8 (Red Hat Enterprise Linux)
20.04 LTS (Ubuntu)
3 (Red Hat Quay)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
7.3 (РЕД ОС)
4 (Red Hat OpenShift Container Platform)
6 (Red Hat Satellite)
22.04 LTS (Ubuntu)
9 (Red Hat Enterprise Linux)
- (Network Observability Operator)
- (Migration Toolkit for Virtualization)
- (OpenShift Serverless)
2 (Red Hat Ansible Automation Platform)
- (АЛЬТ СП 10)
- (Red Hat Developer Hub)
24.04 LTS (Ubuntu)
- (Red Hat OpenShift AI (RHOAI))
24.10 (Ubuntu)
- (Red Hat Enterprise Linux AI)
- (Red Hat Trusted Artifact Signer)
25.04 (Ubuntu)
10 (Red Hat Enterprise Linux)
- (Red Hat AI Inference Server)
3 (Openshift Service Mesh)
1 (Red Hat Discovery)
- (Builds for Red Hat OpenShift)
- (cert-manager Operator for Red Hat OpenShift)
- (Confidential Compute Attestation)
- (Custom Metric Autoscaler operator for Red Hat Openshift)
- (Multiarch Tuning Operator)
до 2.5.0 (urllib3)
9.1 (Platform V SberLinux OS Server)

Тип ПО

Операционная система
Прикладное ПО информационных систем
ПО виртуализации/ПО виртуального программно-аппаратного средства
Сетевое программное средство
ПО программно-аппаратного средства

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 7
Canonical Ltd. Ubuntu 16.04 LTS
Canonical Ltd. Ubuntu 18.04 LTS
Red Hat Inc. Red Hat Enterprise Linux 8
Canonical Ltd. Ubuntu 20.04 LTS
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «Ред Софт» РЕД ОС 7.3
Canonical Ltd. Ubuntu 22.04 LTS
Red Hat Inc. Red Hat Enterprise Linux 9
АО «ИВК» АЛЬТ СП 10 -
Canonical Ltd. Ubuntu 24.04 LTS
Canonical Ltd. Ubuntu 24.10
Red Hat Inc. Red Hat Enterprise Linux AI -
Canonical Ltd. Ubuntu 25.04
Red Hat Inc. Red Hat Enterprise Linux 10
АО «СберТех» Platform V SberLinux OS Server 9.1

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,9)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 5,3)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Использование рекомендаций:
Для Urllib3:
https://github.com/urllib3/urllib3/commit/f05b1329126d5be6de501f9d1e3e36738bc08857
https://github.com/urllib3/urllib3/security/advisories/GHSA-pq67-6m6q-mj2v
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2025-50181
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2025-50181
Для Ubuntu:
https://ubuntu.com/security/CVE-2025-50181
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 5%
0.00023
Низкий

5.3 Medium

CVSS3

4.9 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2025-50181

CVSS3: 5.3
ubuntu
5 месяцев назад

urllib3 is a user-friendly HTTP client library for Python. Prior to 2.5.0, it is possible to disable redirects for all requests by instantiating a PoolManager and specifying retries in a way that disable redirects. By default, requests and botocore users are not affected. An application attempting to mitigate SSRF or open redirect vulnerabilities by disabling redirects at the PoolManager level will remain vulnerable. This issue has been patched in version 2.5.0.

redhat логотип

CVE-2025-50181

CVSS3: 5.3
redhat
5 месяцев назад

urllib3 is a user-friendly HTTP client library for Python. Prior to 2.5.0, it is possible to disable redirects for all requests by instantiating a PoolManager and specifying retries in a way that disable redirects. By default, requests and botocore users are not affected. An application attempting to mitigate SSRF or open redirect vulnerabilities by disabling redirects at the PoolManager level will remain vulnerable. This issue has been patched in version 2.5.0.

nvd логотип

CVE-2025-50181

CVSS3: 5.3
nvd
5 месяцев назад

urllib3 is a user-friendly HTTP client library for Python. Prior to 2.5.0, it is possible to disable redirects for all requests by instantiating a PoolManager and specifying retries in a way that disable redirects. By default, requests and botocore users are not affected. An application attempting to mitigate SSRF or open redirect vulnerabilities by disabling redirects at the PoolManager level will remain vulnerable. This issue has been patched in version 2.5.0.

msrc логотип

CVE-2025-50181

CVSS3: 5.3
msrc
4 месяца назад

urllib3 redirects are not disabled when retries are disabled on PoolManager instantiation

debian логотип

CVE-2025-50181

CVSS3: 5.3
debian
5 месяцев назад

urllib3 is a user-friendly HTTP client library for Python. Prior to 2. ...

EPSS

Процентиль: 5%
0.00023
Низкий

5.3 Medium

CVSS3

4.9 Medium

CVSS2