安全问题存档 — Django 文档

来自菜鸟教程
Django/docs/3.2.x/releases/security
跳转至:导航、​搜索

安全问题存档

Django 的安全政策 中所述,Django 的开发团队坚定地致力于负责任地报告和披露与安全相关的问题。

作为该承诺的一部分,我们保留以下已修复和披露的历史问题列表。 对于每个问题,下面的列表包括日期、简要说明、CVE 标识符 (如果适用)、受影响版本的列表、完整披露的链接以及相应补丁的链接。

一些重要的警告适用于此信息:

  • 受影响的版本列表仅包括在披露时具有稳定的、受安全支持的版本的 Django 版本。 这意味着旧版本(其安全支持已过期)和在披露时处于预发布 (alpha/beta/RC) 状态的版本可能已受到影响,但未列出。
  • Django 项目有时会发布安全建议,指出可能由不当配置或 Django 本身以外的其他问题引起的潜在安全问题。 其中一些公告已收到 CVE; 在这种情况下,它们会在此处列出,但由于它们没有随附的补丁或版本,因此只会列出描述、披露和 CVE。

Django 安全流程下的问题

所有安全问题都在 Django 的安全流程版本下处理。 下面列出了这些。

2021 年 7 月 1 日 - :cve:`2021-35042`

通过未净化的 QuerySet.order_by() 输入潜在的 SQL 注入。 完整描述

2021 年 6 月 2 日 - :cve:`2021-33203`

通过 admindocs 的潜在目录遍历。 完整描述

2021 年 6 月 2 日 - :cve:`2021-33571`

由于验证器接受 IPv4 地址中的前导零,因此可能存在不确定的 SSRF、RFI 和 LFI 攻击。 完整描述

2021 年 5 月 6 日 - :cve:`2021-32052`

URLValidator 接受 Python 3.9.5+ 输入中的换行符以来,标头注入的可能性。 完整描述

2021 年 5 月 4 日 - :cve:`2021-31542`

通过上传的文件进行潜在的目录遍历。 完整描述

2021 年 4 月 6 日 - :cve:`2021-28658`

通过上传的文件进行潜在的目录遍历。 完整描述

2021 年 2 月 19 日 - :cve:`2021-23336`

通过 django.utils.http.limited_parse_qsl() 进行 Web 缓存中毒。 完整描述

2021 年 2 月 1 日 - :cve:`2021-3281`

通过 archive.extract() 的潜在目录遍历。 完整描述

2020 年 9 月 1 日 - :cve:`2020-24584`

Python 3.7+ 上文件系统缓存的中间级目录中的权限升级。 完整描述

2020 年 9 月 1 日 - :cve:`2020-24583`

Python 3.7+ 上的中级目录权限不正确。 完整描述

2020 年 6 月 3 日 - :cve:`2020-13596`

可能通过管理员 ForeignKeyRawIdWidget 进行 XSS。 完整描述

2020 年 6 月 3 日 - :cve:`2020-13254`

通过格式错误的内存缓存键可能导致数据泄漏。 完整描述

2020 年 3 月 4 日 - :cve:`2020-9402`

通过 Oracle 上 GIS 函数和聚合中的 tolerance 参数进行潜在 SQL 注入。 完整描述

2020 年 2 月 3 日 - :cve:`2020-7471`

通过 StringAgg(delimiter) 的潜在 SQL 注入。 完整描述

2019 年 12 月 18 日 - :cve:`2019-19844`

通过密码重置表单潜在的帐户劫持。 完整描述

2019 年 8 月 1 日 - :cve:`2019-14235`

django.utils.encoding.uri_to_iri() 中潜在的内存耗尽。 完整描述

2019 年 8 月 1 日 - :cve:`2019-14234`

JSONField/HStoreField 的键和索引查找中的 SQL 注入可能性。 完整描述

2019 年 8 月 1 日 - :cve:`2019-14233`

strip_tags() 中的拒绝服务可能性。 完整描述

2019 年 8 月 1 日 - :cve:`2019-14232`

django.utils.text.Truncator 中的拒绝服务可能性。 完整描述

2019 年 7 月 1 日 - :cve:`2019-12781`

使用通过 HTTPS 进行反向代理连接的 HTTP 检测不正确。 完整描述

2019 年 6 月 3 日 - :cve:`2019-12308`

XSS 通过 AdminURLFieldWidget 生成的“当前 URL”链接。 完整描述

2019 年 6 月 3 日 - :cve:`2019-11358`

捆绑 jQuery 中的原型污染。 完整描述

2019 年 1 月 4 日 - :cve:`2019-3498`

默认 404 页面中的内容欺骗可能性。 完整描述

2018 年 10 月 1 日 - :cve:`2018-16984`

密码哈希公开给“仅查看”管理员用户。 完整描述

受影响的版本


2018 年 8 月 1 日 - :cve:`2018-14574`

CommonMiddleware 中打开重定向的可能性。 完整描述

2018 年 3 月 6 日 - :cve:`2018-7537`

truncatechars_htmltruncatewords_html 模板过滤器中的拒绝服务可能性。 完整描述

2018 年 3 月 6 日 - :cve:`2018-7536`

urlizeurlizetrunc 模板过滤器中的拒绝服务可能性。 完整描述

2018 年 2 月 1 日 - :cve:`2018-6188`

AuthenticationForm中的信息泄露。 完整描述

2017 年 9 月 5 日 - :cve:`2017-12794`

技术 500 调试页面的回溯部分中可能存在 XSS。 完整描述

2017 年 4 月 4 日 - :cve:`2017-7234`

django.views.static.serve() 中打开重定向漏洞。 完整描述

2017 年 4 月 4 日 - :cve:`2017-7233`

通过用户提供的数字重定向 URL 打开重定向和可能的 XSS 攻击。 完整描述

2016 年 11 月 1 日 - :cve:`2016-9014`

DEBUG=True 时的 DNS 重新绑定漏洞。 完整描述

2016 年 11 月 1 日 - :cve:`2016-9013`

在 Oracle 上运行测试时创建的具有硬编码密码的用户。 完整描述

2016 年 9 月 26 日 - :cve:`2016-7401`

使用 Google Analytics 在站点上绕过 CSRF 保护。 完整描述

2016 年 7 月 18 日 - :cve:`2016-6186`

管理员添加/更改相关弹出窗口中的 XSS。 完整描述

受影响的版本


2016 年 3 月 1 日 - :cve:`2016-2513`

通过密码散列器工作因子升级的时间差异进行用户枚举。 完整描述

受影响的版本


2016 年 3 月 1 日 - :cve:`2016-2512`

通过用户提供的包含基本身份验证的重定向 URL 进行恶意重定向和可能的 XSS 攻击。 完整描述

2016 年 2 月 1 日 - :cve:`2016-2048`

具有“更改”但不具有“添加”权限的用户可以使用 save_as=TrueModelAdmin 创建对象。 完整描述

受影响的版本


2015 年 11 月 24 日 - :cve:`2015-8213`

date 模板过滤器中设置泄漏可能性。 完整描述

2015 年 8 月 18 日 - :cve:`2015-5963` / :cve:`2015-5964`

通过填充会话存储在 logout() 视图中拒绝服务的可能性。 完整描述

2015 年 7 月 8 日 - :cve:`2015-5145`

URL 验证中的拒绝服务可能性。 完整描述

2015 年 7 月 8 日 - :cve:`2015-5144`

标头注入的可能性,因为验证器接受输入中的换行符。 完整描述

2015 年 7 月 8 日 - :cve:`2015-5143`

通过填充会话存储来拒绝服务的可能性。 完整描述

2015 年 5 月 20 日 - :cve:`2015-3982`

修复了 cached_db 后端中的会话刷新。 完整描述

2015 年 3 月 18 日 - :cve:`2015-2316`

strip_tags() 的拒绝服务可能性。 完整描述

2015 年 3 月 9 日 - :cve:`2015-2241`

通过 ModelAdmin.readonly_fields 中的属性进行 XSS 攻击。 完整描述

2015 年 1 月 13 日 - :cve:`2015-0222`

ModelMultipleChoiceField 的数据库拒绝服务。 完整描述

受影响的版本


2015 年 1 月 13 日 - :cve:`2015-0221`

针对 django.views.static.serve() 的拒绝服务攻击。 完整描述

2015 年 1 月 13 日 - :cve:`2015-0220`

通过用户提供的重定向 URL 减轻可能的 XSS 攻击。 完整描述

2015 年 1 月 13 日 - :cve:`2015-0219`

通过下划线/破折号混淆的 WSGI 标头欺骗。 完整描述

2014 年 8 月 20 日 - :cve:`2014-0483`

通过管理中的查询字符串操作导致数据泄漏。 完整描述

2014 年 8 月 20 日 - :cve:`2014-0482`

RemoteUserMiddleware 会话劫持。 完整描述

2014 年 8 月 20 日 - :cve:`2014-0480`

reverse() 可以生成指向其他主机的 URL。 完整描述

2014 年 5 月 18 日 - :cve:`2014-3730`

来自用户输入的格式错误的 URL 未正确验证。 完整描述

2014 年 4 月 21 日 - :cve:`2014-0474`

MySQL 类型转换会导致意外的查询结果。 完整描述

2014 年 4 月 21 日 - :cve:`2014-0473`

匿名页面的缓存可能会泄露 CSRF 令牌。 完整描述

2013 年 9 月 10 日 - :cve:`2013-4315`

通过 ssi 模板标签进行目录遍历。 完整描述

2013 年 8 月 13 日 - :cve:`2013-6044`

可能通过未经验证的 URL 重定向方案实现 XSS。 完整描述

2013 年 8 月 13 日 - :cve:`2013-4249`

XSS 通过管理员信任 URLField 值。 完整描述

2013 年 2 月 19 日 - :cve:`2013-0306`

通过表单集 max_num 绕过拒绝服务。 完整描述

2013 年 2 月 19 日 - :cve:`2013-0305`

通过管理历史日志泄露信息。 完整描述

2013 年 2 月 19 日 - :cve:`2013-1664` / :cve:`2013-1665`

针对 Python XML 库的基于实体的攻击。 完整描述

2013 年 2 月 19 日 - 无 CVE

Host 标头处理的额外强化。 完整描述

2012 年 12 月 10 日 - 没有 CVE 2

重定向验证的额外强化。 完整描述

2012 年 12 月 10 日 - 无 CVE 1

Host 标头处理的额外强化。 完整描述

2012 年 10 月 17 日 - :cve:`2012-4520`

Host 标头中毒。 完整描述

2012 年 7 月 30 日 - :cve:`2012-3444`

通过大图像文件拒绝服务。 完整描述

2012 年 7 月 30 日 - :cve:`2012-3443`

通过压缩图像文件拒绝服务。 完整描述

受影响的版本


2012 年 7 月 30 日 - :cve:`2012-3442`

XSS 通过未能验证重定向方案。 完整描述

2011 年 9 月 9 日 - :cve:`2011-4140`

通过 Host 标头的潜在 CSRF。 完整描述

受影响的版本

此通知只是一个建议,因此没有发布补丁。

  • 姜戈 1.2
  • 姜戈 1.3


2011 年 9 月 9 日 - :cve:`2011-4139`

Host 头缓存中毒。 完整描述

2011 年 9 月 9 日 - :cve:`2011-4138`

通过URLField.verify_exists信息泄露/任意请求发布。 完整描述

2011 年 9 月 9 日 - :cve:`2011-4137`

通过 URLField.verify_exists 拒绝服务。 完整描述

2011 年 9 月 9 日 - :cve:`2011-4136`

使用内存缓存支持的会话时的会话操作。 完整描述

受影响的版本


2011 年 2 月 8 日 - :cve:`2011-0698`

通过不正确的路径分隔符处理在 Windows 上进行目录遍历。 完整描述

2011 年 2 月 8 日 - :cve:`2011-0697`

XSS 通过上传文件的未消毒名称。 完整描述

2011 年 2 月 8 日 - :cve:`2011-0696`

CSRF 通过伪造的 HTTP 标头。 完整描述

2010 年 12 月 22 日 - :cve:`2010-4535`

密码重置机制中的拒绝服务。 完整描述

2010 年 12 月 22 日 - :cve:`2010-4534`

管理界面信息泄露。 完整描述

2010 年 9 月 8 日 - :cve:`2010-3082`

XSS 通过信任不安全的 cookie 值。 完整描述

2009 年 10 月 9 日 - :cve:`2009-3965`

通过病理性正则表达式性能拒绝服务。 完整描述

2009 年 7 月 28 日 - :cve:`2009-2659`

开发服务器媒体处理程序中的目录遍历。 完整描述

受影响的版本


2008 年 9 月 2 日 - :cve:`2008-3909`

CSRF 通过在管理员登录期间保存 POST 数据。 完整描述

2007 年 10 月 26 日 - :cve:`2007-5712`

通过任意大的 Accept-Language 标头拒绝服务。 完整描述

Django 安全流程之前的问题

在 Django 使用正式的安全流程之前,一些安全问题已经得到处理。 对于这些,当时可能没有发布新版本,也可能没有分配 CVE。

2007 年 1 月 21 日 - :cve:`2007-0405`

经过身份验证的用户的明显“缓存”。 完整描述

受影响的版本


2006 年 8 月 16 日 - :cve:`2007-0404`

翻译框架中的文件名验证问题。 完整描述

受影响的版本