1.漏洞描述 Requests 是一个 HTTP 库。自 Requests 2.3.0 以来，当重定向到 HTTPS 端点时，Requests 一直在向目标服务器泄漏 Proxy-Authorization 标头。这是我们如何使用“rebuild_proxies”将“Proxy-Authorization”标头重新附加到请求的产物。对于通过隧道发送的 HTTP 连接，代理将识别请求本身中的标头，并在转发到目标服务器之前将其删除。但是，当通过 HTTPS 发送时，必须在 CONNECT 请求中发送“Proxy-Authorization”标头，因为代理无法查看隧道请求。这会导致请求无意中将代理凭据转发到目标服务器，从而允许恶意参与者潜在地泄露敏感信息。此问题已在版本 2.31.0 中修补。 2.影响产品(系统版本 是否受影响) 银河麒麟高级服务器操作系统 V10 SP3 2403 不影响 银河麒麟高级服务器操作系统 V11 不影响 3.漏洞评分( 漏洞编号 危害程度 CVSS 3.1 评分 漏洞类型) CVE-2023-32681 中等 6.1 其他 漏洞评分向量：CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:N/A:N 4.修复方案 无需修复