漏洞概述
2021年05月02日,WebRAY烽火台实验室监测到编号为CVE-2021-29921的关于Python中ipaddress标准库对 IP 地址解析不当的漏洞。由于Python 3.8.0 到 v3.10的ipaddress标准库中八进制字符串的不当输入验证可能导致未经授权的远程攻击者在依赖于 Python ipaddress标准库的程序上执行包含跨站请求伪造(SSRF)、远程文件包含(RFI)和本地文件包含(LFI)在内的攻击,WebRAY烽火台实验室建议相关用户及时自查并关注修复信息。
Python提供了高效的高级数据结构,还能简单有效地面向对象编程。Python的语法、动态类型解释型语言的本质,使它成为多数平台上写脚本和快速开发应用的编程语言,随着版本的不断更新和语言新功能的添加,逐渐被用于独立的、大型项目的开发。
WebRAY烽火台实验室将持续关注该漏洞进展,并第一时间为您更新该漏洞信息。
影响版本
漏洞编号 | 影响版本 | 影响标准库 |
CVE-2021-29921 | Python 3.8.0 到 v3.10 | ipaddress |
漏洞等级
WebRAY烽火台实验室风险评级:高危
修复建议
1、目前官方暂未修补预计将在下一个版本中解决;
2、可以通过预先处理机制进行防范。
来源:freebuf.com 2021-05-06 09:38:24 by: WebRAY
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
喜欢就支持一下吧
请登录后发表评论
注册