“Python”un “URL analizatoru” funksiyasında kritik boşluq (CVE-2023-24329) aşkar olunub.
Bu barədə Elektron Təhlükəsizlik Xidməti məlumat yayıb.
Bu boşluq kiberdələduzlara boş simvollarla başlayan “URL” təqdim etməklə qara siyahı (blacklist) metodlarından yan keçməyə imkan verir. Bunun səbəbi “urllib-parse” komponentinin “URL”lərdəki boş simvolları düzgün idarə etməməsidir.
Boşluğun uğurla istismarı kiberdələduza qara siyahı tətbiq olunan domen və ya protokol filtrləmə üsullarından yan keçməyə imkan verə bilər. Bu isə ixtiyari faylın oxunması və əmrlərin icrası ilə nəticələnə bilər.
İstifadəçilərə hazırki “Python” məhsulunu ən son versiyaya yeniləmələri tövsiyə olunur.