Cacat Parsing URL Python Baru Dapat Mengaktifkan Command Execution Attacks
.png)
Celah keamanan dengan tingkat keparahan tinggi telah diungkapkan dalam fungsi penguraian URL Python yang dapat dieksploitasi untuk mem-bypass domain atau metode pemfilteran protokol yang diterapkan dengan daftar blokir, yang pada akhirnya menghasilkan pembacaan file sewenang-wenang dan eksekusi perintah.
"urlparse memiliki masalah penguraian ketika seluruh URL dimulai dengan karakter kosong," kata CERT Coordination Center (CERT/CC). "Masalah ini mempengaruhi penguraian nama host dan skema, dan pada akhirnya menyebabkan metode pemblokiran apa pun gagal."
- >= 3.12
- 3.11.x >= 3.11.4
- 3.10.x >= 3.10.12
- 3.9.x >= 3.9.17
- 3.8.x >= 3.8.17, and
- 3.7.x >= 3.7.17
urllib.parse adalah fungsi penguraian yang banyak digunakan yang memungkinkan untuk memecah URL menjadi konstituennya, atau sebagai alternatif, menggabungkan komponen menjadi string URL.
CVE-2023-24329 muncul sebagai akibat dari kurangnya validasi input, sehingga mengarah ke skenario di mana metode pemblokiran dapat disiasati dengan menyediakan URL yang dimulai dengan karakter kosong (mis., " https://youtube[.] com").
"Meskipun daftar blokir dianggap sebagai pilihan yang lebih rendah, ada banyak skenario di mana daftar blokir masih diperlukan," kata Cao. "Kerentanan ini akan membantu penyerang melewati perlindungan yang ditetapkan oleh pengembang untuk skema dan host. Kerentanan ini diharapkan dapat membantu SSRF dan RCE dalam berbagai skenario."
Pengungkapan tersebut muncul saat penelitian baru menemukan bahwa perbaikan keamanan di Python sering terjadi melalui kode "silent" yang dilakukan, tanpa pengenal Common Vulnerabilities and Exposures (CVE) terkait, sehingga memberikan kesempatan kepada aktor jahat untuk berpotensi mengeksploitasi kerentanan yang dirahasiakan dalam sistem yang belum ditambal.