CVE-2022-0391

宰烈

2023-12-01

Python 注入漏洞

CNNVD编号：CNNVD-202202-864
危害等级：高危
CVE编号： CVE-2022-0391
漏洞类型：注入
发布时间： 2022-02-09
威胁类型：远程
更新时间： 2022-06-06
厂商：
漏洞来源：

漏洞简介

Python是Python基金会的一套开源的、面向对象的程序设计语言。该语言具有可扩展、支持模块和包、支持多种平台等特点。

Python 存在注入漏洞，该漏洞允许攻击者输入精心设计的URL，导致注入攻击。以下产品及版本受到影响：3.10.0b1、3.9.5、3.8.11、3.7.11和3.6.14之前的Python版本。

https://bugs.python.org/issue43882

Issue 43882: [security] CVE-2022-0391: urllib.parse should sanitize urls containing ASCII newline and tabs. - Python tracker

> In [9]: from urllib.parse import urlsplit
> In [10]: urlsplit("java\nscript:alert('bad')")
> Out[10]: SplitResult(scheme='', netloc='', path="java\nscript:alert('bad')", query='', fragment='')

>> new URL("java\nscript:alert(bad)")
<< URL { href: "javascript:alert(bad)", origin: "null", protocol:
"javascript:", username: "", password: "", host: "", hostname: "", port: "", pathname: "alert(bad)", search: ""

CVE-2022-0391

Python 注入漏洞

漏洞简介

相关阅读

相关文章

相关问答