0x01漏洞状态
漏洞细节 漏洞POC 漏洞EXP 在野利用 否 未知 未知 未知 |
0x02漏洞描述
Django是Django基金会的一套基于Python语言的开源Web应用框架。该框架包括面向对象的映射器、视图系统、模板系统等。
2022年1月5日,360漏洞云团队监测到Django发布安全公告,修复了多个存在于Django中的漏洞。其中,1个中危漏洞,2个低危漏洞,漏洞详情如下:
1. Django资源管理错误漏洞
Django资源管理错误漏洞 漏洞编号 CVE-2021-45115 漏洞类型 资源管理错误 漏洞等级 中危 公开状态 未知 在野利用 未知 漏洞描述 该漏洞的存在是由于 UserAttributeSimilarityValidator 在评估相对于比较值人为较大的提交密码时对内部资源的不当管理。远程攻击者可以将特制密码传递给应用程序并执行拒绝服务 (DoS) 攻击。 |
2. Django信息泄露漏洞
Django信息泄露漏洞 漏洞编号 CVE-2021-45116 漏洞类型 信息泄露 漏洞等级 低危 公开状态 未知 在野利用 未知 漏洞描述 该漏洞的存在是由于应用程序在处理 dictsort 模板过滤器中的错误条件时输出了过多的数据。远程用户可以获得系统的敏感信息。 |
3. Django路径遍历漏洞
Django路径遍历漏洞 漏洞编号 CVE-2021-45452 漏洞类型 路径遍历 漏洞等级 低危 公开状态 未知 在野利用 未知 漏洞描述 该漏洞的存在是由于在 Storage.save() 方法中处理目录遍历序列时输入验证错误。远程用户可以将特制的 HTTP 文件名传递给应用程序并将文件写入预期目录之外。 |
0x03漏洞等级
中危
0x04影响版本
Django =main branch
Django =4.0
Django =3.2
Django =2.2
0x05修复建议
厂商已发布补丁修复漏洞,用户请尽快更新至安全版本:
On the main branch
On the 4.0 release branch
On the 3.2 release branch
On the 2.2 release branch
补丁获取链接如下:
http://www.djangoproject.com/weblog/2022/jan/04/security-releases/
与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
0x06时间轴
2022-01-05
360漏洞云团队监测到Django发布安全公告,修复了多个存在于Django中的漏洞。
2022-01-05
360漏洞云发布安全动态。
一颗小胡椒