漏洞总结 漏洞概述 Python 标准库中的 模块存在安全缺陷。当调用 函数时,如果传入的 URL 以连字符( )开头,之前的实现未能正确拒绝该 URL。这可能导致命令注入(Command Injection)或重定向攻击风险,因为某些浏览器或系统可能将 开头的参数误认为是命令行参数。 影响范围 Python 标准库中的 模块。 修复方案 在 文件的 方法中增加了输入验证逻辑。如果 URL 去除首尾空格后以 开头,代码将抛出 异常,从而阻止恶意 URL 的执行。同时,在 中增加了 测试用例来覆盖此修复。 相关代码块 修复代码 (Lib/webbrowser.py): 测试代码 (Lib/test/test_webbrowser.py):