local_file允许远程攻击者绕过保护机制(CVE-2019-9948)

漏洞描述

在Python 2.x through 2.7.16中的URLLIB支持local_file: scheme,这使得远程攻击者能够更容易地绕过黑名单文件:URI的保护机制,如触发URLLIB.UROPEN(“LOCAL_FILE:///etc/passwd”)+ Q /调用所示。

local_file允许远程攻击者绕过保护机制(CVE-2019-9948)

基本信息

CVE编号: CVE-2019-9948

漏洞类型: 未知

危险等级: 中危

披露时间: 2019-03-23

cm k { { % d W 5vss3评分:9.1

cvss3因子:CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

修复建议

参考链接

h4 0 C x + d { J Sttp://www.securityfocus.com) 0 o h/bid/107549

https://bugs.python.org/issue35907

https://github.com/python/cpython/pull/11842

https:/: $ j %/security.netapp.com/advisory/ntap-20190404-0004/