Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-12374

Опубликовано: 25 апр. 2023
Источник: fstec
CVSS3: 3.7
CVSS2: 2.6
EPSS Низкий

Описание

Уязвимость функций urllib.parse.urlsplit() и urlparse() интерпретатора языка программирования Python связана с недостаточной проверкой поступающих запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на целостность данных

Вендор

ООО «РусБИТех-Астра»
Python Software Foundation
АО "НППКТ"

Наименование ПО

Astra Linux Special Edition
Python
ОСОН ОСнова Оnyx

Версия ПО

1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
от 3.11.0 до 3.11.4 (Python)
1.8 (Astra Linux Special Edition)
до 2.13 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8
АО "НППКТ" ОСОН ОСнова Оnyx до 2.13

Уровень опасности уязвимости

Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 2,6)
Низкий уровень опасности (базовая оценка CVSS 3.1 составляет 3,7)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Python:
https://github.com/python/cpython/issues/103848
Для ОС Astra Linux:
обновить пакет python3.11 до 3.11.2-6+deb12u5.astra3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0811SE18
Для ОС Astra Linux:
- обновить пакет python2.7 до 2.7.16-2+deb10u6+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17
- обновить пакет python3.7 до 3.7.3-2+deb10u10.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17
Обновление программного обеспечения python3.9 до версии 3.9.2-1+deb11u3.osnova2u1
Для ОС Astra Linux:
- обновить пакет python2.7 до 2.7.16-2+deb10u6+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47
- обновить пакет python3.7 до 3.7.3-2+deb10u10.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 55%
0.00327
Низкий

3.7 Low

CVSS3

2.6 Low

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2024-11168

CVSS3: 3.7
ubuntu
12 месяцев назад

The urllib.parse.urlsplit() and urlparse() functions improperly validated bracketed hosts (`[]`), allowing hosts that weren't IPv6 or IPvFuture. This behavior was not conformant to RFC 3986 and potentially enabled SSRF if a URL is processed by more than one URL parser.

redhat логотип

CVE-2024-11168

CVSS3: 3.7
redhat
12 месяцев назад

The urllib.parse.urlsplit() and urlparse() functions improperly validated bracketed hosts (`[]`), allowing hosts that weren't IPv6 or IPvFuture. This behavior was not conformant to RFC 3986 and potentially enabled SSRF if a URL is processed by more than one URL parser.

nvd логотип

CVE-2024-11168

CVSS3: 3.7
nvd
12 месяцев назад

The urllib.parse.urlsplit() and urlparse() functions improperly validated bracketed hosts (`[]`), allowing hosts that weren't IPv6 or IPvFuture. This behavior was not conformant to RFC 3986 and potentially enabled SSRF if a URL is processed by more than one URL parser.

msrc логотип

CVE-2024-11168

CVSS3: 3.7
msrc
11 месяцев назад

Описание отсутствует

debian логотип

CVE-2024-11168

CVSS3: 3.7
debian
12 месяцев назад

The urllib.parse.urlsplit() and urlparse() functions improperly valida ...

EPSS

Процентиль: 55%
0.00327
Низкий

3.7 Low

CVSS3

2.6 Low

CVSS2