Source |
The Hacker News |
Identifiant |
8369220 |
Date de publication |
2023-08-12 11:33:00 (vue: 2023-08-12 07:06:41) |
Titre |
Nouvelle défaut d'analyse de l'URL Python permet des attaques d'injection de commandement New Python URL Parsing Flaw Enables Command Injection Attacks |
Texte |
Une faille de sécurité à haute sévérité a été divulguée dans la fonction d'analyse de l'URL Python qui pourrait être exploitée pour contourner les méthodes de filtrage du domaine ou du protocole implémentées avec une liste de blocs, entraînant finalement des lectures de fichiers arbitraires et une exécution de commande.
"Urlparse a un problème d'analyse lorsque l'URL entière commence par des caractères vierges", a déclaré le CERT COORDINATION CENTER (CERT / CC) dans un vendredi
A high-severity security flaw has been disclosed in the Python URL parsing function that could be exploited to bypass domain or protocol filtering methods implemented with a blocklist, ultimately resulting in arbitrary file reads and command execution.
"urlparse has a parsing problem when the entire URL starts with blank characters," the CERT Coordination Center (CERT/CC) said in a Friday |
Envoyé |
Oui |
Condensat |
arbitrary attacks been blank blocklist bypass center cert cert/cc characters command coordination could disclosed domain enables entire execution exploited file filtering flaw friday function has high implemented injection methods new parsing problem protocol python reads resulting said security severity starts ultimately url urlparse when |
Tags |
|
Stories |
|
Notes |
★★
|
Move |
|