安全问题档案

Django的开发团队致力于负责报告和披露安全相关问题,如中所述。 Django's security policies .

作为该承诺的一部分,我们保留以下已确定和披露的历史问题清单。对于每个问题,下面的列表包括日期、简要说明、 CVE identifier 如果适用,列出受影响的版本、完整披露的链接和相应补丁的链接。

一些重要注意事项适用于此信息:

  • 受影响的版本列表仅包括在披露时具有稳定、安全支持的发行版的django版本。这意味着旧版本(其安全支持已过期)和披露时处于预发布状态(alpha/beta/rc)的版本可能受到影响,但未列出。
  • Django项目有时会发布安全建议,指出可能由配置不当或Django自身以外的其他问题引起的潜在安全问题。其中一些建议已经收到了CVE;在这种情况下,它们在这里列出,但由于它们没有附带的补丁或版本,因此只列出描述、披露和CVE。

Django安全流程前的问题

在Django使用正式的安全流程之前,已经处理了一些安全问题。对于这些,可能当时没有发布新版本,也可能没有分配CVE。

2006年8月16日- CVE-2007-0404

翻译框架中的文件名验证问题。 Full description

受影响的版本

2007年1月21日- CVE-2007-0405

已验证用户的明显“缓存”。 Full description

受影响的版本

Django安全流程中的问题

所有其他安全问题都是在Django的安全流程版本下处理的。如下所示。

2007年10月26日- CVE-2007-5712

任意大的拒绝服务 Accept-Language header. Full description

受影响的版本

2008年5月14日 CVE-2008-2302

通过管理员登录重定向的XSS。 Full description

受影响的版本

2008年9月2日- CVE-2008-3909

通过在管理员登录期间保存日志数据的CSRF。 Full description

受影响的版本

2009年7月28日 CVE-2009-2659

开发服务器媒体处理程序中的目录遍历。 Full description

受影响的版本

2009年10月9日- CVE-2009-3965

通过病理正则表达式性能拒绝服务。 Full description

受影响的版本

2010年9月8日- CVE-2010-3082

通过信任不安全的cookie值实现的XSS。 Full description

受影响的版本

2010年12月22日- CVE-2010-4534

管理界面中的信息泄漏。 Full description

受影响的版本

2010年12月22日- CVE-2010-4535

密码重置机制中的拒绝服务。 Full description

受影响的版本

2011年2月8日- CVE-2011-0696

通过伪造HTTP头的CSRF。 Full description

受影响的版本

2011年2月8日- CVE-2011-0697

通过上传文件的未初始化名称进行XSS。 Full description

受影响的版本

2011年2月8日- CVE-2011-0698

通过不正确的路径分隔符处理在Windows上进行目录遍历。 Full description

受影响的版本

2011年9月9日- CVE-2011-4136

使用内存缓存备份会话时的会话操作。 Full description

受影响的版本

2011年9月9日- CVE-2011-4137

拒绝服务通过 URLField.verify_exists. Full description

受影响的版本

2011年9月9日- CVE-2011-4138

信息泄露/任意请求发布通过 URLField.verify_exists. Full description

受影响的版本

2011年9月9日- CVE-2011-4139

Host header cache poisoning. Full description

受影响的版本

2011年9月9日- CVE-2011-4140

潜在CSRF通过 Host header. Full description

受影响的版本

此通知只是一个通知,因此没有发布任何修补程序。

  • Django 1.2
  • Django 1.3

2012年7月30日 CVE-2012-3442

XSS通过验证重定向方案失败。 Full description

受影响的版本

2012年7月30日 CVE-2012-3443

通过压缩图像文件拒绝服务。 Full description

受影响的版本

2012年7月30日 CVE-2012-3444

通过大图像文件拒绝服务。 Full description

受影响的版本

2012年10月17日- CVE-2012-4520

Host header poisoning. Full description

受影响的版本

2012年12月10日-无CVE 1

附加硬化 Host header handling. Full description

受影响的版本

2012年12月10日-无CVE 2

重定向验证的额外强化。 Full description

受影响的版本

2013年2月19日-无CVE

附加硬化 Host header handling. Full description

受影响的版本

2013年2月19日- CVE-2013-1664 / CVE-2013-1665

针对python XML库的基于实体的攻击。 Full description

受影响的版本

2013年2月19日- CVE-2013-0305

通过管理历史日志泄漏信息。 Full description

受影响的版本

2013年2月19日- CVE-2013-0306

通过Formset拒绝服务 max_num bypass. Full description

受影响的版本

2013年8月13日- CVE-2013-4249

通过管理员信任的XSS URLField values. Full description

受影响的版本

2013年8月13日- CVE-2013-6044

可能的XSS通过未验证的URL重定向方案。 Full description

受影响的版本

2013年9月10日- CVE-2013-4315

目录遍历通过 ssi template tag. Full description

受影响的版本

2013年9月14日- CVE-2013-1443

通过大密码拒绝服务。 Full description

受影响的版本

2014年4月21日- CVE-2014-0472

意外的代码执行使用 reverse(). Full description

受影响的版本

2014年4月21日- CVE-2014-0473

缓存匿名页面可能会显示CSRF令牌。 Full description

受影响的版本

2014年4月21日- CVE-2014-0474

MySQL类型转换导致意外的查询结果。 Full description

受影响的版本

2014年5月18日 CVE-2014-1418

可以允许缓存存储和服务私有数据。 Full description

受影响的版本

2014年5月18日 CVE-2014-3730

用户输入的URL格式错误,验证不正确。 Full description

受影响的版本

2014年8月20日- CVE-2014-0480

reverse() can generate URLs pointing to other hosts. Full description

受影响的版本

2014年8月20日- CVE-2014-0481

文件上传拒绝服务。 Full description

受影响的版本

2014年8月20日- CVE-2014-0482

RemoteUserMiddleware session hijacking. Full description

受影响的版本

2014年8月20日- CVE-2014-0483

通过管理中的querystring操作泄漏数据。 Full description

受影响的版本

2015年1月13日- CVE-2015-0219

通过下划线/短划线合并的wsgi头欺骗。 Full description

受影响的版本

2015年1月13日- CVE-2015-0220

通过用户提供的重定向URL减轻了可能的XSS攻击。 Full description

受影响的版本

2015年1月13日- CVE-2015-0221

拒绝服务攻击 django.views.static.serve(). Full description

受影响的版本

2015年1月13日- CVE-2015-0222

数据库拒绝服务 ModelMultipleChoiceField. Full description

受影响的版本

2015年3月9日 CVE-2015-2241

通过中的属性进行XSS攻击 ModelAdmin.readonly_fields. Full description

受影响的版本

2015年3月18日- CVE-2015-2316

拒绝服务的可能性 strip_tags(). Full description

受影响的版本

2015年3月18日- CVE-2015-2317

通过用户提供的重定向URL减轻了可能的XSS攻击。 Full description

受影响的版本

2015年5月20日 CVE-2015-3982

已修复缓存的数据库后端中的会话刷新。 Full description

受影响的版本

2015年7月8日 CVE-2015-5143

通过填充会话存储区来拒绝服务的可能性。 Full description

受影响的版本

2015年7月8日 CVE-2015-5144

由于验证器在输入中接受换行,所以头注入的可能性。 Full description

受影响的版本

2015年7月8日 CVE-2015-5145

URL验证中的拒绝服务可能性。 Full description

受影响的版本

2015年8月18日- CVE-2015-5963 / CVE-2015-5964

拒绝服务的可能性 logout() view by filling session store. Full description

受影响的版本

2015年11月24日- CVE-2015-8213

设置泄漏可能性 date template filter. Full description

受影响的版本

2016年2月1日- CVE-2016-2048

具有“更改”但不具有“添加”权限的用户可以为创建对象 ModelAdmin’s with save_as=True. Full description

受影响的版本

2016年3月1日 CVE-2016-2512

恶意重定向和可能的XSS攻击通过用户提供的重定向URL包含基本身份验证。 Full description

受影响的版本

2016年3月1日 CVE-2016-2513

用户枚举通过时间差进行密码散列器工作因子升级。 Full description

受影响的版本

2016年7月18日 CVE-2016-6186

管理员的添加/更改相关弹出窗口中的XSS。 Full description

受影响的版本

2016年9月26日- CVE-2016-7401

通过google分析在网站上绕过CSRF保护。 Full description

受影响的版本

2016年11月1日- CVE-2016-9013

在Oracle上运行测试时创建的具有硬编码密码的用户。 Full description

受影响的版本

2016年11月1日- CVE-2016-9014

DNS重新绑定漏洞 DEBUG=True. Full description

受影响的版本

2017年4月4日 CVE-2017-7233

通过用户提供的数字重定向URL打开重定向和可能的XSS攻击。 Full description

受影响的版本

2017年4月4日 CVE-2017-7234

中的开放重定向漏洞 django.views.static.serve(). Full description

受影响的版本

2017年9月5日- CVE-2017-12794

技术500调试页的回溯部分中可能有XSS。 Full description

受影响的版本

2018年2月1日- CVE-2018-6188

信息泄露 AuthenticationForm. Full description

受影响的版本

2018年3月6日 CVE-2018-7536

拒绝服务的可能性 urlize and urlizetrunc template filters. Full description

受影响的版本

2018年3月6日 CVE-2018-7537

拒绝服务的可能性 truncatechars_html and truncatewords_html template filters. Full description

受影响的版本

2018年8月1日- CVE-2018-14574

打开重定向可能性 CommonMiddleware. Full description

受影响的版本

2018年10月1日- CVE-2018-16984

向“仅查看”管理员用户披露密码哈希。 Full description

受影响的版本

2019年1月4日- CVE-2019-3498

默认404页中的内容欺骗可能性。 Full description

受影响的版本

2019年2月11日- CVE-2019-6975

记忆耗竭 django.utils.numberformat.format(). Full description

受影响的版本