API webbrowser.open() принимает ведущие тире в URL-адресе, который
могут обрабатываться как параметры командной строки для определенных веб-браузеров. Новый
поведение отвергает ведущие тире. Пользователям рекомендуется дезинфицировать URL-адреса.
перед переходом к webbrowser.open().
Показать оригинальное описание (EN)
The webbrowser.open() API would accept leading dashes in the URL which could be handled as command line options for certain web browsers. New behavior rejects leading dashes. Users are recommended to sanitize URLs prior to passing to webbrowser.open().
Характеристики атаки
Способ атаки
Локальный
Нужен локальный доступ
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Требуются
Нужны дополнительные условия
Нужны права
Не требуются
Права не нужны
Участие пользователя
Активное
Нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 9
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Python Python
cpe:2.3:a:python:python:*:*:*:*:*:*:*:*
|
— |
3.13.13
|
|
Python Python
cpe:2.3:a:python:python:*:*:*:*:*:*:*:*
|
3.14.0
|
3.14.4
|
|
Python Python
cpe:2.3:a:python:python:3.15.0:alpha1:*:*:*:*:*:*
|
— | — |
|
Python Python
cpe:2.3:a:python:python:3.15.0:alpha2:*:*:*:*:*:*
|
— | — |
|
Python Python
cpe:2.3:a:python:python:3.15.0:alpha3:*:*:*:*:*:*
|
— | — |
|
Python Python
cpe:2.3:a:python:python:3.15.0:alpha4:*:*:*:*:*:*
|
— | — |
|
Python Python
cpe:2.3:a:python:python:3.15.0:alpha5:*:*:*:*:*:*
|
— | — |
|
Python Python
cpe:2.3:a:python:python:3.15.0:alpha6:*:*:*:*:*:*
|
— | — |
|
Python Python
cpe:2.3:a:python:python:3.15.0:alpha7:*:*:*:*:*:*
|
— | — |
Ссылки 16
https://github.com/python/cpython/issues/143930
cna@python.org
https://github.com/python/cpython/pull/143931
cna@python.org
https://mail.python.org/archives/list/security-announce@python.org/thread/AY5ND…
cna@python.org
http://www.openwall.com/lists/oss-security/2026/03/20/1
af854a3a-2127-422b-91ae-364da2661108
https://github.com/python/cpython/commit/43fe06b96f6a6cf5cfd5bdab20b86493749568…
cna@python.org
https://github.com/python/cpython/commit/82a24a4442312bdcfc4c799885e8b3e00990f0…
cna@python.org
https://github.com/python/cpython/commit/9669a912a0e329c094e992204d6bdb8787024d…
cna@python.org
https://github.com/python/cpython/commit/ad4d5ba32af4d80b0dfa2ba9d8203bfb219e60…
cna@python.org
https://github.com/python/cpython/commit/ceac1efc66516ac387eef2c9a0ce671895b44f…
cna@python.org
https://github.com/python/cpython/commit/cbba6119391112aba9c5aebf7b94aea447922c…
cna@python.org
https://github.com/python/cpython/commit/3681d47a440865aead912a054d4599087b4270…
cna@python.org
https://github.com/python/cpython/commit/591ed890270c5697b013bf637029fb3e6cd2d7…
cna@python.org
https://github.com/python/cpython/commit/594b5a05dc9913880ac92eded440defbf32a28…
cna@python.org
https://github.com/python/cpython/commit/89bfb8e5ed3c7caa241028f1a4eac5f6275a46…
cna@python.org
https://github.com/python/cpython/commit/96fc5048605863c7b6fd6289643feb0e97edd9…
cna@python.org
https://github.com/python/cpython/commit/cc023511238ad93ecc8796157c6f9139a2bb29…
cna@python.org