安全情报专区 48+

Python tarfile GNU长文件名目录类型识别绕过漏洞

### 漏洞概述 - **漏洞编号**: gh-141707 - **漏洞描述**: 在处理GNU长文件名时，TarInfo DIRTYPE规范化被跳过。具体而言，当文件名以`/`结尾时，`AREGTYPE`头会被转换为`DIRTYPE`头，但这一转换在GNU长文件名处理中被跳过。 - **影响**: 这可能导致在处理包含GNU长文件名的tar文件时，目录类型的文件被错误地识别为普通文件。 ###…

Python CVE-2020-2297 SourcelessFileLoader漏洞修复

Python tarfile GNU长文件名类型误判漏洞修复

Python http.cookies BaseCookie.js_output Cookie注入漏洞修复

Python Lib/http/cookies.py BaseCookie.js_output 未编码导致JS注入漏洞修复

Python webbrowser模块Tab替换绕过漏洞(GH-148170)及修复

# 漏洞总结 ## 漏洞概述 - **漏洞编号**: GH-148170 - **漏洞类型**: 浏览器标签页替换绕过（Tab substitution bypass） - **漏洞描述**: 在 `webbrowser` 模块中，允许使用 `new` 参数前缀为 `%action` 的 URL 绕过 dash-prefix 安全检查，可能导致安全漏洞。 ## 影响范围 - **受影响模块**: …

Python http.cookies SimpleCookie.js_output HTML注入漏洞分析

Python http.cookies模块Cookie嵌入JS未编码致注入漏洞

Python CPython asyncio.sock_recv_into 缓冲区边界检查修复

Python CPython远程调试偏移表验证缺失漏洞修复

### 漏洞概述 该漏洞涉及Python CPython项目中的远程调试偏移表（remote debug offset tables）在处理来自目标进程的数据时，未进行严格验证。这可能导致内存读取或解释远程布局时的安全问题。 ### 影响范围 - **模块**：`Modules/remote_debugging/` 目录下的相关文件。 - **功能**：远程调试功能。 - **风险**：未经严格验…