Các nhà nghiên cứu cảnh báo về lỗ hổng nghiêm trọng CVE-2023-24329 (CVSS 7.5), tồn tại trong chức năng phân tích cú pháp URL của Python. Lỗ hổng có thể bị khai thác để bỏ qua các phương pháp lập danh sách chặn (blocklist), từ đó đọc file và thực thi lệnh tùy ý.

Vấn đề tồn tại trong thành phần urllib.parse của Python trước phiên bản 3.11.

urllib.parse là chức năng phân tích cú pháp được sử dụng rộng rãi giúp chia nhỏ các URL hoặc kết hợp các thành phần thành một chuỗi URL.

Lỗ hổng được phát hiện từ tháng 7/2022 và ảnh hưởng đến tất cả các phiên bản python trước 3.11.

Theo các chuyên gia, mặc dù blocklist không phải là lựa chọn tối ưu, nhưng có nhiều tình huống nó vẫn cần thiết. Lỗ hổng trên sẽ giúp kẻ tấn công vượt qua các biện pháp bảo vệ do nhà phát triển đặt ra cho scheme và host, từ đó tấn công SSRF và RCE trong nhiều tình huống.

Các phiên bản  mới đã được vá lỗ hổng:

>= 3,12

3.11.x >= 3.11.4

3.10.x >= 3.10.12

3.9.x >= 3.9.17

3.8.x >= 3.8.17

3.7.x >= 3.7.17

Nguồn: Security Affairs, The Hacker News