Уязвимость открытого перенаправления в Python 3.x через некорректную обработку URI, приводящая к утечке информации
Описание
В Python 3.x через 3.10 обнаружена уязвимость, связанная с открытым перенаправлением в файле lib/http/server.py. Эта уязвимость возникает из-за отсутствия защиты от наличия нескольких символов / в начале пути URI, что приводит к утечке информации.
Затронутые версии ПО
- Python 3.x до 3.10 включительно
Тип уязвимости
Утечка информации
Спорные моменты
Третья сторона оспаривает наличие уязвимости, потому что документация по http.server.html содержит предупреждение: "Внимание: использование http.server не рекомендуется для использования в продакшене. Он реализует только базовые проверки безопасности."
Ссылки
- Issue TrackingVendor Advisory
- PatchThird Party Advisory
- PatchThird Party Advisory
- Issue TrackingVendor Advisory
- PatchThird Party Advisory
Уязвимые конфигурации
Одно из
Одно из
EPSS
7.4 High
CVSS3
Дефекты
Связанные уязвимости
** DISPUTED ** Python 3.x through 3.10 has an open redirection vulnerability in lib/http/server.py due to no protection against multiple (/) at the beginning of URI path which may leads to information disclosure. NOTE: this is disputed by a third party because the http.server.html documentation page states "Warning: http.server is not recommended for production. It only implements basic security checks."
Python 3.x through 3.10 has an open redirection vulnerability in lib/http/server.py due to no protection against multiple (/) at the beginning of URI path which may leads to information disclosure. NOTE: this is disputed by a third party because the http.server.html documentation page states "Warning: http.server is not recommended for production. It only implements basic security checks."
Python 3.x through 3.10 has an open redirection vulnerability in lib/h ...
EPSS
7.4 High
CVSS3