Sistemas Afectados

• Python desde 3.7.x
• Python desde 3.8.x hasta 3.8.17 (excluyendo esta última)
• Python desde 3.9.x hasta 3.9.17 (excluyendo esta última)
• Python desde 3.10.x hasta 3.10.12 (excluyendo esta última)
• Python desde 3.11.x hasta 3.11.4 (excluyendo esta última)

Descripción

Recientemente un equipo de investigadores han advertido de una severa vulnerabilidad que afecta múltiples versiones Python en el módulo urlib. La explotación de esta vulnerabilidad permite a un atacante puede provocar lecturas arbitrarias de archivos y la ejecución de comandos.

Referencia

• CVE-2023-24329

Solución

Se recomienda aplicar las actualizaciones a las versiones no vulnerables las cuales validan las entradas en estas librerías (enlistadas debajo). Adicionalemente se recomienda optar por agregar la función strip() antes de procesar las urls.

• Python 3.7.17
• Python 3.8.17
• Python 3.9.17
• Python 3.10.12
• Python 3.11.4
• Python 3.12