-
CVE-2019-20907 — 当尝试以 tar 格式打开专门设计的文件时,tarfile 模块循环。 -
BPO-41288 — 当 Pickle 模块尝试使用专门设计的操作码 NEWOBJ_EX 处理对象时崩溃。 -
CVE-2020-15801 — 通过在 http.client 模块的“method”参数中使用换行符将 HTTP 标头替换为请求的能力。 例如:conn.request(method=”GET / HTTP/1.1\r\nHost: abc\r\nRemainder:”, url=”/index.html”)。 该漏洞之前已修复,但并未涵盖http.client.putrequest方法的安全性。
来源: opennet.ru