漏洞总结 漏洞概述 Python 的 模块在处理 URL 时存在安全缺陷。攻击者可以通过向 或相关函数传递以连字符( )开头的 URL 来利用此漏洞。这可能导致命令注入风险或不符合预期的行为。该修复旨在确保传递给子进程(subprocesses)的 URL 参数是安全的。 影响范围 模块: 函数: , 等相关方法。 版本: 涉及 Python 3.12 及后续版本(根据 Commit Message 推断)。 修复方案 在 中引入了 URL 安全检查逻辑( 函数)。在 URL 被传递给子进程之前,检查 URL 是否以 开头。如果是,则抛出 异常,阻止 URL 被打开。 相关代码 (POC/修复逻辑) 修复代码 ( ): 测试用例 ( ):**