Python 3.7.2的urllib.parse模块下urlsplit错误的处理字符导致漏洞。
漏洞原理用 Punycode/IDNA 编码的 URL 使用 NFKC 规范化来分解字符。可能导致某些字符将新的段引入 URL。
例如,在
2020-05-27