小心!Django發布安全更新,修復多個漏洞
0x01漏洞狀態
漏洞細節 漏洞POC 漏洞EXP 在野利用 否 未知 未知 未知 |
0x02漏洞描述
Django是Django基金會的一套基于Python語言的開源Web應用框架。該框架包括面向對象的映射器、視圖系統、模板系統等。
2022年1月5日,360漏洞云團隊監測到Django發布安全公告,修復了多個存在于Django中的漏洞。其中,1個中危漏洞,2個低危漏洞,漏洞詳情如下:
1. Django資源管理錯誤漏洞
Django資源管理錯誤漏洞 漏洞編號 CVE-2021-45115 漏洞類型 資源管理錯誤 漏洞等級 中危 公開狀態 未知 在野利用 未知 漏洞描述 該漏洞的存在是由于 UserAttributeSimilarityValidator 在評估相對于比較值人為較大的提交密碼時對內部資源的不當管理。遠程攻擊者可以將特制密碼傳遞給應用程序并執行拒絕服務 (DoS) 攻擊。 |
2. Django信息泄露漏洞
Django信息泄露漏洞 漏洞編號 CVE-2021-45116 漏洞類型 信息泄露 漏洞等級 低危 公開狀態 未知 在野利用 未知 漏洞描述 該漏洞的存在是由于應用程序在處理 dictsort 模板過濾器中的錯誤條件時輸出了過多的數據。遠程用戶可以獲得系統的敏感信息。 |
3. Django路徑遍歷漏洞
Django路徑遍歷漏洞 漏洞編號 CVE-2021-45452 漏洞類型 路徑遍歷 漏洞等級 低危 公開狀態 未知 在野利用 未知 漏洞描述 該漏洞的存在是由于在 Storage.save() 方法中處理目錄遍歷序列時輸入驗證錯誤。遠程用戶可以將特制的 HTTP 文件名傳遞給應用程序并將文件寫入預期目錄之外。 |
0x03漏洞等級
中危
0x04影響版本
Django =main branch
Django =4.0
Django =3.2
Django =2.2
0x05修復建議
廠商已發布補丁修復漏洞,用戶請盡快更新至安全版本:
On the main branch
On the 4.0 release branch
On the 3.2 release branch
On the 2.2 release branch
補丁獲取鏈接如下:
http://www.djangoproject.com/weblog/2022/jan/04/security-releases/
與此同時,請做好資產自查以及預防工作,以免遭受黑客攻擊。
0x06時間軸
2022-01-05
360漏洞云團隊監測到Django發布安全公告,修復了多個存在于Django中的漏洞。
2022-01-05
360漏洞云發布安全動態。
