关键漏洞信息 漏洞标题:CVE-2019-9947 Header Injection in urllib 类型:安全漏洞 状态:已关闭 解决结果:重复 依赖项和上级项: - CVE-2019-9740 - CVE-2019-9947 - CVE-2016-5699 优先级:正常 作者:push0ebp 创建日期:2019-02-06 最后修改日期:2022-04-11 漏洞详细描述 漏洞描述: - 该漏洞允许通过路径和查询字符串注入HTTP头部,从而绕过对非法头部的检查。 - 通过注入完整的HTTP头部,攻击者可以绕过主机头检查,影响Redis和SSRF等服务。 - Python 3.4.7+ 版本受到影响,甚至可能影响到更高版本。 代码示例: 修复方案: - 更改 正则表达式,改为使用 模式,以允许解析主机时包含所有字符。 - 具体修复提交链接:https://github.com/python/cpython/commit/cc54c1c0d2d05fe7404ba64c53df4b1352ed2262 总结: - 该漏洞使得攻击者可以绕过非法头部检查,并完全注入HTTP头部。 - 该问题在 模块的 使用中存在,可能导致更严重的安全风险。 相关讨论 拉取请求: - PR 11768 和 PR 12524 都已被关闭且与该问题相关联。 - 有开发者提交了修复PR并请求反馈。 CVE引用: - 该漏洞被分配了CVE-2019-9947编号。 其他相关问题 类似问题: - Issue 13359 提出自动百分比编码无效URL的提案。 - Issue 30500 可能与该问题有相关性。