Foi divulgada uma falha de segurança de alta gravidade na função de análise de URL do Python, que pode ser explorada para contornar métodos de filtragem de domínio ou protocolo implementados com uma lista de bloqueio.

Isso pode resultar em leituras de arquivos arbitrários e execução de comandos. “O urlparse tem um problema de análise quando toda a URL começa com caracteres em branco”, disse o Centro de Coordenação CERT (CERT/CC) em um comunicado na sexta-feira.

“Esse problema afeta tanto a análise do nome do host quanto do esquema e, eventualmente, faz com que qualquer método de lista de bloqueio falhe.” A falha foi identificada como CVE-2023-24329 e recebeu uma pontuação CVSS de 7.5.

O pesquisador de segurança Yebo Cao foi creditado por descobrir e relatar o problema em agosto de 2022. A falha é um lembrete crítico para os desenvolvedores e administradores de sistemas atualizarem suas versões do Python para as mais recentes, a fim de evitar possíveis explorações maliciosas.