由于urlsplit不正确的NFKC正常化导致的信息泄露

漏洞描述

Python 2.6.x through 2.7.16 和 3.x through 3.7.2受到以下因素的影响:在NFKC规范化期间,Unicode编码(使用不正确的netloc)处理不当。其影响是:信息泄露(根据给定主机名缓存的凭据,cookie等)。组件是:urllib.parse.urlsplit,urllib.parse.urlparse。攻击媒介是:可能会错误地解析特制URL以查找Cookie或身份验证数据,并将该信息发送到与正确解析时不同的主机。

基本信息

  • CVE编号: CVE-2019-9636
  • 漏洞类型: 信息泄露
  • 危险等级: 未知
  • 披露时间: 2019-03-08

修复建议

 暂无                             

参考链接

CVSS3.0 评分
9.8