Django的开发团队致力于负责报告和披露安全相关问题,如中所述。 Django's security policies .
作为该承诺的一部分,我们保留以下已确定和披露的历史问题清单。对于每个问题,下面的列表包括日期、简要说明、 CVE identifier 如果适用,列出受影响的版本、完整披露的链接和相应补丁的链接。
一些重要注意事项适用于此信息:
受影响的版本列表仅包括在披露时具有稳定、安全支持的发行版的django版本。这意味着旧版本(其安全支持已过期)和披露时处于预发布状态(alpha/beta/rc)的版本可能受到影响,但未列出。
Django项目有时会发布安全建议,指出可能由配置不当或Django自身以外的其他问题引起的潜在安全问题。其中一些建议已经收到了CVE;在这种情况下,它们在这里列出,但由于它们没有附带的补丁或版本,因此只列出描述、披露和CVE。
所有安全问题都在Django的安全流程版本下处理。这些都列在下面。
中存在潜在的拒绝服务漏洞 UsernameField
on Windows. Full description
中的拒绝服务可能性 django.utils.text.Truncator
. Full description
中存在潜在的拒绝服务漏洞 django.utils.encoding.uri_to_iri()
. Full description
中潜在的正则表达式拒绝服务漏洞 EmailValidator
/URLValidator
。 Full description
使用一个表单域上载多个文件时可能绕过验证。 Full description
文件上载中存在潜在的拒绝服务漏洞。 Full description
可能通过以下方式拒绝服务 Accept-Language
headers. Full description
国际化URL中的潜在拒绝服务漏洞。 Full description
FileResponse中可能反映了文件下载漏洞。 Full description
可能通过以下方式注入SQL Trunc(kind)
and Extract(lookup_name)
arguments. Full description
潜在的SQL注入 QuerySet.annotate()
, aggregate()
, and extra()
. Full description
可能通过以下方式注入SQL QuerySet.explain(**options)
on PostgreSQL. Full description
可能的XSS VIA {% debug %}
template tag. Full description
文件上载中的拒绝服务可能性。 Full description
潜在的目录遍历通过 Storage.save()
. Full description
潜在的信息泄露 dictsort
template filter. Full description
中的拒绝服务可能性 UserAttributeSimilarityValidator
. Full description
可能会绕过基于URL路径的上游访问控制。 Full description
可能通过未经清理的SQL注入 QuerySet.order_by()
input. Full description
潜在的目录遍历通过 admindocs
. Full description
由于验证器接受IPv4地址中的前导零,因此可能存在不确定的SSRF、RFI和LFI攻击。 Full description
标头注入可能性自 URLValidator
accepted newlines in input on Python 3.9.5+. Full description
通过上传的文件可能遍历目录。 Full description
通过上传的文件可能遍历目录。 Full description
Web缓存中毒通过 django.utils.http.limited_parse_qsl()
. Full description
潜在的目录遍历通过 archive.extract()
. Full description
Python3.7+上文件系统缓存的中间级目录中的权限提升。 Full description
python3.7+上的中级目录权限不正确。 Full description
可能通过管理员的XSS ForeignKeyRawIdWidget
. Full description
可能通过错误的memcached密钥泄漏数据。 Full description
潜在的SQL注入 tolerance
parameter in GIS functions and aggregates on Oracle. Full description
潜在的SQL注入 StringAgg(delimiter)
. Full description
潜在的帐户劫持通过密码重置形式。 Full description
Django管理中的权限提升。 Full description
潜在的内存耗尽 django.utils.encoding.uri_to_iri()
. Full description
的键和索引查找中的SQL注入可能性 JSONField
/HStoreField
. Full description
拒绝服务的可能性 strip_tags()
. Full description
拒绝服务的可能性 django.utils.text.Truncator
. Full description
通过HTTPS进行反向代理连接的HTTP检测不正确。 Full description
通过“当前URL”链接生成的XSS AdminURLFieldWidget
. Full description
捆绑jquery中的原型污染。 Full description
记忆耗竭 django.utils.numberformat.format()
. Full description
Django 2.1 (patch)
Django 2 (patch 和 correction)
Django 1.11 (patch)
默认404页中的内容欺骗可能性。 Full description
向“仅查看”管理员用户披露密码哈希。 Full description
Django 2.1 (patch)
打开重定向可能性 CommonMiddleware
. Full description
拒绝服务的可能性 truncatechars_html
and truncatewords_html
template filters. Full description
拒绝服务的可能性 urlize
and urlizetrunc
template filters. Full description
信息泄露 AuthenticationForm
. Full description
技术500调试页的回溯部分中可能有XSS。 Full description
中的开放重定向漏洞 django.views.static.serve()
. Full description
通过用户提供的数字重定向URL打开重定向和可能的XSS攻击。 Full description
DNS重新绑定漏洞 DEBUG=True
. Full description
在Oracle上运行测试时创建的具有硬编码密码的用户。 Full description
通过google分析在网站上绕过CSRF保护。 Full description
管理员的添加/更改相关弹出窗口中的XSS。 Full description
用户枚举通过时间差进行密码散列器工作因子升级。 Full description
恶意重定向和可能的XSS攻击通过用户提供的重定向URL包含基本身份验证。 Full description
具有“更改”但不具有“添加”权限的用户可以为创建对象 ModelAdmin
’s with save_as=True
. Full description
Django 1.9 (patch)
设置泄漏可能性 date
template filter. Full description
拒绝服务的可能性 logout()
view by filling session store. Full description
URL验证中的拒绝服务可能性。 Full description
Django 1.8 (patch)
由于验证器在输入中接受换行,所以头注入的可能性。 Full description
通过填充会话存储区来拒绝服务的可能性。 Full description
已修复缓存的数据库后端中的会话刷新。 Full description
Django 1.8 (patch)
通过用户提供的重定向URL减轻了可能的XSS攻击。 Full description
拒绝服务的可能性 strip_tags()
. Full description
通过中的属性进行XSS攻击 ModelAdmin.readonly_fields
. Full description
数据库拒绝服务 ModelMultipleChoiceField
. Full description
拒绝服务攻击 django.views.static.serve()
. Full description
通过用户提供的重定向URL减轻了可能的XSS攻击。 Full description
通过下划线/短划线合并的wsgi头欺骗。 Full description
通过管理中的querystring操作泄漏数据。 Full description
RemoteUserMiddleware
session hijacking. Full description
文件上传拒绝服务。 Full description
reverse()
can generate URLs pointing to other hosts. Full description
用户输入的URL格式错误,验证不正确。 Full description
可以允许缓存存储和服务私有数据。 Full description
MySQL类型转换导致意外的查询结果。 Full description
缓存匿名页面可能会显示CSRF令牌。 Full description
意外的代码执行使用 reverse()
. Full description
通过大密码拒绝服务。 Full description
Django 1.4 (patch 和 Python compatibility fix)
Django 1.5 (patch)
目录遍历通过 ssi
template tag. Full description
可能的XSS通过未验证的URL重定向方案。 Full description
通过管理员信任的XSS URLField
values. Full description
Django 1.5 (patch)
通过Formset拒绝服务 max_num
bypass. Full description
通过管理历史日志泄漏信息。 Full description
针对python XML库的基于实体的攻击。 Full description
附加硬化 Host
header handling. Full description
重定向验证的额外强化。 Full description
附加硬化 Host
header handling. Full description
Host
header poisoning. Full description
通过大图像文件拒绝服务。 Full description
通过压缩图像文件拒绝服务。 Full description
XSS通过验证重定向方案失败。 Full description
潜在CSRF通过 Host
header. Full description
此通知只是一个通知,因此没有发布任何修补程序。
Django 1.2
Django 1.3
Host
header cache poisoning. Full description
信息泄露/任意请求发布通过 URLField.verify_exists
. Full description
拒绝服务通过 URLField.verify_exists
. Full description
使用内存缓存备份会话时的会话操作。 Full description
通过不正确的路径分隔符处理在Windows上进行目录遍历。 Full description
通过上传文件的未初始化名称进行XSS。 Full description
通过伪造HTTP头的CSRF。 Full description
密码重置机制中的拒绝服务。 Full description
管理界面中的信息泄漏。 Full description
通过信任不安全的cookie值实现的XSS。 Full description
Django 1.2 (patch)
通过病理正则表达式性能拒绝服务。 Full description
开发服务器媒体处理程序中的目录遍历。 Full description
通过在管理员登录期间保存日志数据的CSRF。 Full description
通过管理员登录重定向的XSS。 Full description
任意大的拒绝服务 Accept-Language
header. Full description
在Django使用正式的安全流程之前,已经处理了一些安全问题。对于这些,可能当时没有发布新版本,也可能没有分配CVE。
已验证用户的明显“缓存”。 Full description
Django 0.95 (patch)
翻译框架中的文件名验证问题。 Full description
12月 18, 2023