PT-2022-2220 · Python+11 · Python+11
Publicado
2021-04-18
·
Atualizado
2025-12-17
·
CVE-2022-0391
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:C/A:N |
Nome do software vulnerável e versões afetadas
Versões do Python anteriores à 3.10.0b1
Versões do Python anteriores à 3.9.5
Versões do Python anteriores à 3.8.11
Versões do Python anteriores à 3.7.11
Versões do Python anteriores à 3.6.14
Descrição
A vulnerabilidade envolve o módulo urllib.parse do Python, que não sanitiza adequadamente a entrada, permitindo caracteres como
r e no caminho da URL. Essa falha permite que um invasor insira uma URL maliciosa, levando a ataques de injeção. O invasor pode explorar essa vulnerabilidade fornecendo dados especialmente criados contendo símbolos CR-LF, o que pode alterar o comportamento do aplicativo.Recomendações
Para versões anteriores à 3.10.0b1, atualize para a versão 3.10.0b1 ou posterior.
Para versões anteriores à 3.9.5, atualize para a versão 3.9.5 ou posterior.
Para versões anteriores à 3.8.11, atualize para a versão 3.8.11 ou posterior.
Para versões anteriores à 3.7.11, atualize para a versão 3.7.11 ou posterior.
Para versões anteriores à 3.6.14, atualize para a versão 3.6.14 ou posterior.
Como solução temporária, considere restringir o uso do método
urlparse no módulo urllib.parse até que um patch esteja disponível. Evite usar o método urlparse com dados de entrada não confiáveis.Exploit
Correção
Special Elements Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Astra Linux
Centos
Debian
Linuxmint
Python
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu