WebOb 在重定向期间的位置标头规范化导致开放重定向 (CVE-2024-42353)
CVE编号
CVE-2024-42353利用情况
暂无补丁情况
N/A披露时间
2024-08-15漏洞描述
WebOb提供了HTTP请求和响应的对象。当WebOb将HTTP Location头标准化以包含请求的主机名时,它是通过解析用户将要重定向到的URL并使用Python的urlparse将其与基本URL组合来实现的。然而,urlparse会将字符串开头的"//"视为没有方案的URI,然后将下一部分视为主机名。然后,urljoin会使用第二部分中的主机名替换请求中的原始主机名。这个漏洞已在WebOb版本1.8.8中得到修复。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://github.com/Pylons/webob/commit/f689bcf4f0a1f64f1735b1d5069aef5be6974b5b | |
| https://github.com/Pylons/webob/security/advisories/GHSA-mg3v-6m49-jhp3 |
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 系统 | fedora_39 | python-webob | * | Up to (excluding) 1.8.8-1.fc39 | |||||
| 运行在以下环境 | |||||||||
| 系统 | fedora_40 | python-webob | * | Up to (excluding) 1.8.8-1.fc40 | |||||
| 运行在以下环境 | |||||||||
| 系统 | fedora_41 | python-webob | * | Up to (excluding) 1.8.8-1.fc41 | |||||
| 运行在以下环境 | |||||||||
| 系统 | fedora_42 | python-webob | * | Up to (excluding) 1.8.8-1.fc42 | |||||
| 运行在以下环境 | |||||||||
| 系统 | fedora_EPEL_8 | python-webob | * | Up to (excluding) 1.8.8-1.el8 | |||||
| 运行在以下环境 | |||||||||
| 系统 | fedora_EPEL_9 | python-webob | * | Up to (excluding) 1.8.8-1.el9 | |||||
- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论