PT-2024-16796 · Python+10 · Urllib.Parse+10

Seth Larson

+1

·

Publicado

2023-04-25

·

Atualizado

2026-04-02

·

CVE-2024-11168

CVSS v4.0

6.3

Média

VetorAV:N/AC:H/AT:P/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:L/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:N/R:X/V:X/RE:X/U:X
Nome do software vulnerável e versões afetadas
Módulo urllib.parse do Python (versões afetadas não especificadas)
Descrição
As funções urllib.parse.urlsplit() e urlparse() não validavam corretamente hosts entre colchetes ([]), permitindo hosts que não fossem IPv6 ou IPvFuture. Esse comportamento não estava em conformidade com a RFC 3986 e potencialmente permitia SSRF se uma URL fosse processada por mais de um analisador de URL.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

SSRF

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-918

Identificadores relacionados

ALSA-2024:10779
ALSA-2024:10983
ALSA-2025:23530
AZL-53016
BDU:2025-12374
BIT-LIBPYTHON-2024-11168
BIT-PYTHON-2024-11168
BIT-PYTHON-MIN-2024-11168
CESA-2024_10779
CVE-2024-11168
DLA-3980-1
DLA-4354-1
INFSA-2024_10779
INFSA-2024_10983
OESA-2025-1026
OESA-2025-1027
OESA-2025-1028
OPENSUSE-SU-2024:14507-1
OPENSUSE-SU-2024:14508-1
OPENSUSE-SU-2024:14535-1
OPENSUSE-SU-2024_4135-1
OPENSUSE-SU-2024_4151-1
OPENSUSE-SU-2024_4153-1
OPENSUSE-SU-2024_4193-1
OPENSUSE-SU-2025_0047-1
OPENSUSE-SU-2025_0049-1
OPENSUSE-SU-2025_0861-1
OPENSUSE-SU-2025_1056-1
PSF-2024-13
RHSA-2024:10779
RHSA-2024:10983
RHSA-2024_10779
RHSA-2024_10983
RHSA-2025:23530
RLSA-2024:10779
RLSA-2024:10983
SUSE-SU-2024:4135-1
SUSE-SU-2024:4151-1
SUSE-SU-2024:4153-1
SUSE-SU-2024:4159-1
SUSE-SU-2024:4165-1
SUSE-SU-2024:4166-1
SUSE-SU-2024:4169-1
SUSE-SU-2024:4193-1
SUSE-SU-2024_4135-1
SUSE-SU-2024_4165-1
SUSE-SU-2024_4166-1
SUSE-SU-2024_4169-1
SUSE-SU-2024_4193-1
SUSE-SU-2025:0047-1
SUSE-SU-2025:0049-1
SUSE-SU-2025:02802-1
SUSE-SU-2025:0861-1
SUSE-SU-2025:0868-1
SUSE-SU-2025:0869-1
SUSE-SU-2025:1041-1
SUSE-SU-2025:1043-1
SUSE-SU-2025:1056-1
SUSE-SU-2025_02802-1
SUSE-SU-2025_0869-1
SUSE-SU-2025_1041-1
SUSE-SU-2025_1043-1
SUSE-SU-2025_1056-1
USN-7218-1
USN-7280-3
USN-7348-1
USN-7488-1

Produtos afetados

Almalinux
Astra Linux
Centos
Debian
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu
Urllib.Parse