CVE-2024-11168丨IPv6 和 IPvFuture 地址验证不当

2024年11月14日 132点热度 0人点赞 0条评论

CVE编号

CVE-2024-11168

利用情况

暂无

补丁情况

N/A

披露时间

2024-11-13

urllib.parse.urlsplit()和urlparse()函数在处理带有方括号的主机（[]）时验证不当，允许非IPv6或IPvFuture的主机存在。这种行为不符合RFC 3986标准，如果URL被多个URL解析器处理，可能会潜在地引发服务端请求伪造（SSRF）风险。

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://access.redhat.com/security/cve/CVE-2024-11168
https://github.com/python/cpython/commit/29f348e232e82938ba2165843c448c2b291504c5
https://github.com/python/cpython/commit/b2171a2fd41416cf68afd67460578631d755a550
https://github.com/python/cpython/issues/103848
https://github.com/python/cpython/pull/103849
https://mail.python.org/archives/list/security-announce@python.org/thread/XPW...