Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2022-0391

Опубликовано: 09 фев. 2022
Источник: nvd
CVSS3: 7.5
CVSS2: 5
EPSS Низкий

Уязвимость в модуле urllib.parse Python, позволяющая атаки через внедрение URL

Описание

В Python обнаружена уязвимость в модуле 'urllib.parse', который используется для разбиения строк URL на компоненты. Проблема связана с тем, что метод 'urlparse' не выполняет очистку входных данных и позволяет использовать символы, такие как '\r' и '\n', в пути URL. Это открывает возможность для злоумышленника использовать специально подготовленный URL для проведения атак через внедрение данных.

Затронутые версии ПО

  • Python до 3.10.0b1, 3.9.5, 3.8.11, 3.7.11 и 3.6.14

Тип уязвимости

Уязвимость атаки через внедрение (injection attacks)

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:python:python:*:*:*:*:*:*:*:*
Версия до 3.6.14 (исключая)
cpe:2.3:a:python:python:*:*:*:*:*:*:*:*
Версия от 3.7.0 (включая) до 3.7.11 (исключая)
cpe:2.3:a:python:python:*:*:*:*:*:*:*:*
Версия от 3.8.0 (включая) до 3.8.11 (исключая)
cpe:2.3:a:python:python:*:*:*:*:*:*:*:*
Версия от 3.9.0 (включая) до 3.9.5 (исключая)
cpe:2.3:a:python:python:3.10.0:alpha1:*:*:*:*:*:*
cpe:2.3:a:python:python:3.10.0:alpha2:*:*:*:*:*:*
cpe:2.3:a:python:python:3.10.0:alpha3:*:*:*:*:*:*
cpe:2.3:a:python:python:3.10.0:alpha4:*:*:*:*:*:*
cpe:2.3:a:python:python:3.10.0:alpha5:*:*:*:*:*:*
cpe:2.3:a:python:python:3.10.0:alpha6:*:*:*:*:*:*
Конфигурация 2

Одно из

cpe:2.3:a:netapp:active_iq_unified_manager:-:*:*:*:*:vsphere:*:*
cpe:2.3:a:netapp:hci:-:*:*:*:*:*:*:*
cpe:2.3:a:netapp:management_services_for_element_software:-:*:*:*:*:*:*:*
cpe:2.3:a:netapp:ontap_select_deploy_administration_utility:-:*:*:*:*:*:*:*
cpe:2.3:a:netapp:solidfire\,_enterprise_sds_\&_hci_storage_node:-:*:*:*:*:*:*:*
cpe:2.3:h:netapp:hci_compute_node:-:*:*:*:*:*:*:*
Конфигурация 3

Одно из

cpe:2.3:o:fedoraproject:fedora:34:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:35:*:*:*:*:*:*:*
Конфигурация 4

Одно из

cpe:2.3:a:oracle:http_server:12.2.1.3.0:*:*:*:*:*:*:*
cpe:2.3:a:oracle:http_server:12.2.1.4.0:*:*:*:*:*:*:*
cpe:2.3:a:oracle:zfs_storage_appliance_kit:8.8:*:*:*:*:*:*:*

EPSS

Процентиль: 70%
0.00672
Низкий

7.5 High

CVSS3

5 Medium

CVSS2

Дефекты

CWE-74
CWE-74

Связанные уязвимости

ubuntu логотип

CVE-2022-0391

CVSS3: 7.5
ubuntu
больше 3 лет назад

A flaw was found in Python, specifically within the urllib.parse module. This module helps break Uniform Resource Locator (URL) strings into components. The issue involves how the urlparse method does not sanitize input and allows characters like '\r' and '\n' in the URL path. This flaw allows an attacker to input a crafted URL, leading to injection attacks. This flaw affects Python versions prior to 3.10.0b1, 3.9.5, 3.8.11, 3.7.11 and 3.6.14.

redhat логотип

CVE-2022-0391

CVSS3: 5.3
redhat
около 4 лет назад

A flaw was found in Python, specifically within the urllib.parse module. This module helps break Uniform Resource Locator (URL) strings into components. The issue involves how the urlparse method does not sanitize input and allows characters like '\r' and '\n' in the URL path. This flaw allows an attacker to input a crafted URL, leading to injection attacks. This flaw affects Python versions prior to 3.10.0b1, 3.9.5, 3.8.11, 3.7.11 and 3.6.14.

msrc логотип

CVE-2022-0391

CVSS3: 7.5
msrc
больше 3 лет назад

Описание отсутствует

debian логотип

CVE-2022-0391

CVSS3: 7.5
debian
больше 3 лет назад

A flaw was found in Python, specifically within the urllib.parse modul ...

github логотип

GHSA-75jm-2xrg-5wpf

github
больше 3 лет назад

A flaw was found in Python, specifically within the urllib.parse module. This module helps break Uniform Resource Locator (URL) strings into components. The issue involves how the urlparse method does not sanitize input and allows characters like '\r' and '\n' in the URL path. This flaw allows an attacker to input a crafted URL, leading to injection attacks. This flaw affects Python versions prior to 3.10.0b1, 3.9.5, 3.8.11, 3.7.11 and 3.6.14.

EPSS

Процентиль: 70%
0.00672
Низкий

7.5 High

CVSS3

5 Medium

CVSS2

Дефекты

CWE-74
CWE-74