0x01漏洞状态

漏洞细节

漏洞POC

漏洞EXP

在野利用

未知

未知

未知

0x02漏洞描述

Django是Django基金会的一套基于Python语言的开源Web应用框架。该框架包括面向对象的映射器、视图系统、模板系统等。 

2022年1月5日,360漏洞云团队监测到Django发布安全公告,修复了多个存在于Django中的漏洞。其中,1个中危漏洞,2个低危漏洞,漏洞详情如下:

1. Django资源管理错误漏洞

Django资源管理错误漏洞

漏洞编号

CVE-2021-45115

漏洞类型

资源管理错误

漏洞等级

中危

公开状态

未知

在野利用

未知

漏洞描述

该漏洞的存在是由于 UserAttributeSimilarityValidator 在评估相对于比较值人为较大的提交密码时对内部资源的不当管理。远程攻击者可以将特制密码传递给应用程序并执行拒绝服务 (DoS) 攻击。

2. Django信息泄露漏洞

Django信息泄露漏洞

漏洞编号

CVE-2021-45116

漏洞类型

信息泄露

漏洞等级

低危

公开状态

未知

在野利用

未知

漏洞描述

该漏洞的存在是由于应用程序在处理 dictsort 模板过滤器中的错误条件时输出了过多的数据。远程用户可以获得系统的敏感信息。

3. Django路径遍历漏洞

Django路径遍历漏洞

漏洞编号

CVE-2021-45452

漏洞类型

路径遍历

漏洞等级

低危

公开状态

未知

在野利用

未知

漏洞描述

该漏洞的存在是由于在 Storage.save() 方法中处理目录遍历序列时输入验证错误。远程用户可以将特制的 HTTP 文件名传递给应用程序并将文件写入预期目录之外。 

0x03漏洞等级

中危

0x04影响版本

Django =main branch

Django =4.0

Django =3.2

Django =2.2

0x05修复建议

厂商已发布补丁修复漏洞,用户请尽快更新至安全版本:

On the main branch

On the 4.0 release branch

On the 3.2 release branch

On the 2.2 release branch

补丁获取链接如下:

http://www.djangoproject.com/weblog/2022/jan/04/security-releases/

与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。

0x06时间轴

2022-01-05

360漏洞云团队监测到Django发布安全公告,修复了多个存在于Django中的漏洞。

2022-01-05

360漏洞云发布安全动态。