urllib3 Python 程式庫 < 1.26.19、< 2.2.2 (CVE-2024-37891)
medium Nessus Plugin ID 200807
語系:
概要
遠端主機上安裝的 Python 程式庫受到一個弱點影響。說明
urllib3 是 Python 的人性化 HTTP 用戶端程式庫。以「ProxyManager」使用 urllib3 的 Proxy 支援時,「Proxy-Authorization」標頭只會如預期傳送至設定的 Proxy。但是,在不使用 urllib3 Proxy 支援的情況下傳送 HTTP 要求時,可能會意外設定「Proxy-Authorization」標頭,即使因為要求未使用轉送 Proxy 或通道 Proxy 而不會產生任何影響,也是如此。在這些情況下,urllib3 不會將「Proxy-Authorization」HTTP 標頭視為攜帶驗證資料的標頭,因此不會去除跨來源重新導向的標頭。請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
升級至 urllib3 1.26.19、2.2.2 或更新版本。另請參閱
Plugin 詳細資訊
嚴重性: Medium
ID: 200807
檔案名稱: urllib3_python_lib_2_2_2.nasl
版本: 1.2
類型: local
系列: Misc.
已發布: 2024/6/21
已更新: 2024/6/24
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.1
CVSS v2
風險因素: Medium
基本分數: 4.6
時間分數: 3.4
媒介: CVSS2#AV:N/AC:H/Au:M/C:C/I:N/A:N
CVSS 評分資料來源: CVE-2024-37891
CVSS v3
風險因素: Medium
基本分數: 4.4
時間分數: 3.9
媒介: CVSS:3.0/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:N/A:N
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: cpe:/a:python:urllib3
必要的 KB 項目: Host/nix/Python/Packages/Enumerated
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2024/6/17
弱點發布日期: 2024/6/17
參考資訊
CVE: CVE-2024-37891
IAVA: 2024-A-0363