Lỗ hổng CVE-2023-24329 trong Python cho phép tin tặc vượt qua danh sách chặn

[WhiteHat Team]

Một lỗ hổng vừa được phát hiện trong thành phần urllib.parse của phiên bản Python trước v3.11 cho phép tin tặc vượt qua các biện pháp ghi vào danh sách chặn bằng cách cung cấp một URL bắt đầu bằng các ký tự rỗng.

Lỗ hổng có mã định danh CVE-2023-24329, điểm CVSS là 7,5 có thể bị tin tặc khai thác để đọc tệp hoặc thực thi lệnh tùy ý, tấn công SSRF và CSRF.

Nguyên nhân tồn tại lỗ hổng hổng là do hàm urlparse không thể xử lý các URL bắt đầu bằng các ký tự làm ảnh hưởng đến việc phân tích cú pháp của tên máy chủ (hostname) và ngôn ngữ lập trình scheme, khiến các phương pháp chặn bị mất hiệu lực.

Python đã phát hành bản vá để giải quyết lỗ hổng CVE-2023-24329 trong các phiên bản:

• Trên 3.12
• Từ 3.11.x đến 3.11.4
• Từ 3.10.x đến 3.10.12
• Từ 3.9.x đến 3.9.17
• Từ 3.8.x đến 3.8.17
• Từ 3.7.x đến 3.7.17

Việc tồn tại lỗ hổng trong thư viện phân tích cơ bản và phổ biến nhất như Python có thể dẫn đến những nguy cơ lớn hơn. Vì vậy, người dùng cần cập nhật lên phiên bản Python mới nhất càng sớm càng tốt hoặc có thể giảm thiểu rủi ro bằng cách vô hiệu hóa các phương pháp lập danh sách chặn dựa trên urllib.parse.

Theo Security Online​