Архив вопросов безопасности ¶
Команда разработчиков Django стремится сообщать и публиковать уязвимости безопасности, как описано в политиках безопасности Django .
В рамках этого обязательства мы ведем следующий исторический список проблем, которые были исправлены и опубликованы. Для каждой проблемы приведенный ниже список содержит дату, краткое описание, CVE ID, если применимо, список затронутых версий, ссылку на полное объявление и ссылки на соответствующие исправления.
Некоторые важные оговорки, применимые к этой информации
- Списки выпусков, подверженных уязвимости, содержат только версии Django, которые имеют стабильный статус и состояние исправлений безопасности на момент выпуска исправлений. Это означает, что более старые версии (для которых истек срок поддержки безопасности) и версии в предварительном выпуске (альфа / бета / RC) на момент объявления также могли быть затронуты, но не не отображаются в списке.
- Проект Django время от времени выпускает предупреждения безопасности, указывая на потенциальные проблемы безопасности, которые могут возникнуть из-за неправильных конфигураций или использования кода, внешнего по отношению к Django. Некоторым из этих предупреждений был присвоен код CVE; когда это происходит, они появляются в этом списке, но поскольку они не содержат никаких исправлений или выпусков кода, видны только описание, реклама и код CVE.
Проблемы, предшествующие процессу безопасности Django ¶
Некоторые проблемы безопасности были решены до того, как в Django появился официальный процесс безопасности. Для них, возможно, не было новых выпусков от Django и не запрашивался код CVE.
16 августа 2006 г. - CVE-2007-0404 ¶
Проблема с проверкой имени файла в системе перевода. Полное описание
21 января 2007 г. - CVE-2007-0405 ¶
Видимое "кеширование" аутентифицированного пользователя. Полное описание
Проблемы, связанные с процессом безопасности Django ¶
Все остальные проблемы решаются в рамках процесса безопасности Django. Они перечислены ниже.
26 октября 2007 г. - CVE-2007-5712 ¶
Отказ в обслуживании через Accept-Language
заголовок произвольно большого размера . Полное описание
14 мая 2008 г. - CVE-2008-2302 ¶
XSS через перенаправление входа администратора. Полное описание
2 сентября 2008 г. - CVE-2008-3909 ¶
CSRF через сохранение данных POST во время входа в систему администратора. Полное описание
28 июля 2009 г. - CVE-2009-2659 ¶.
Обход каталога в обработчике носителей сервера разработки. Полное описание
9 октября 2009 г. - CVE-2009-3965 ¶
Отказ в обслуживании из-за патологической производительности регулярных выражений. Полное описание
8 сентября 2010 г. - CVE-2010-3082 ¶.
XSS через доверие небезопасному значению cookie. Полное описание
22 декабря 2010 г. - CVE-2010-4534 ¶.
Утечка информации в административном интерфейсе. Полное описание
22 декабря 2010 г. - CVE-2010-4535 ¶.
Отказ в обслуживании в механизме сброса пароля. Полное описание
8 февраля 2011 г. - CVE-2011-0696 ¶
CSRF через поддельные заголовки HTTP. Полное описание
8 февраля 2011 г. - CVE-2011-0697 ¶
XSS через необработанные имена загруженных файлов. Полное описание
8 февраля 2011 г. - CVE-2011-0698 ¶
Обход каталогов в Windows из-за неправильной обработки разделителя путей. Полное описание
9 сентября 2011 г. - CVE-2011-4136 ¶
Управление сеансом при использовании сеанса с поддержкой кеш-памяти. Полное описание
9 сентября 2011 г. - CVE-2011-4137 ¶
Отказ в обслуживании через URLField.verify_exists
. Полное описание
9 сентября 2011 г. - CVE-2011-4138 ¶
Утечка информации / произвольная выдача запроса через URLField.verify_exists
.
Полное описание
9 сентября 2011 г. - CVE-2011-4139 ¶
Host
заражение кеша заголовков. Полное описание
9 сентября 2011 г. - CVE-2011-4140 ¶.
Возможный CSRF через Host
заголовок. Полное описание
Затронутые версии ¶
Это уведомление носит рекомендательный характер, поэтому никаких исправлений выпущено не было.
- Django 1.2
- Django 1.3
30 июля 2012 г. - CVE-2012-3442 ¶.
XSS из-за отказа проверить схему перенаправления. Полное описание
30 июля 2012 г. - CVE-2012-3443 ¶.
Отказ в обслуживании через сжатые файлы изображений. Полное описание
30 июля 2012 г. - CVE-2012-3444 ¶.
Отказ в обслуживании через большие файлы изображений. Полное описание
17 октября 2012 г. - CVE-2012-4520 ¶
Host
отравление заголовка. Полное описание
10 декабря 2012 г. - нет CVE 1 ¶
Дополнительное усиление работы с Host
жатками. Полное описание
10 декабря 2012 г. - нет CVE 2 ¶
Дополнительное усиление проверки перенаправления. Полное описание
19 февраля 2013 г. - CVE отсутствует ¶
Дополнительное усиление работы с Host
жатками. Полное описание
19 февраля 2013 г. - CVE-2013-1664 / CVE-2013-1665 ¶
Атаки на основе сущностей на библиотеки Python XML. Полное описание
19 февраля 2013 г. - CVE-2013-0305 ¶
Утечка информации через журнал истории администратора. Полное описание
19 февраля 2013 г. - CVE-2013-0306 ¶
Отказ в обслуживании через max_num
обход набора форм . Полное описание
13 августа 2013 г. - CVE-2013-4249 ¶
XSS через доверительные URLField
значения администратора . Полное описание
13 августа 2013 г. - CVE-2013-6044 ¶
Возможен XSS через схемы перенаправления непроверенных URL. Полное описание
10 сентября 2013 г. - CVE-2013-4315 ¶
Обход каталога с помощью ssi
тега шаблона. Полное описание
14 сентября 2013 г. - CVE-2013-1443 ¶
Отказ в обслуживании с использованием больших паролей. Полное описание
Затронутые версии ¶
- Django 1.4 (патч и исправление совместимости с Python)
- Django 1.5 (патч)
21 апреля 2014 г. - CVE-2014-0472 ¶
Неожиданное выполнение кода с использованием reverse()
. Полное описание
21 апреля 2014 г. - CVE-2014-0473 ¶
Кеширование анонимных страниц может выявить токен CSRF. Полное описание
21 апреля 2014 г. - CVE-2014-0474 ¶
Приведение типов MySQL вызывает неожиданные результаты запроса. Полное описание
18 мая 2014 г. - CVE-2014-1418 ¶
Кэшам может быть разрешено хранить и обслуживать личные данные. Полное описание
18 мая 2014 г. - CVE-2014-3730 ¶.
Некорректно сформированные URL-адреса, введенные пользователем. Полное описание
20 августа 2014 г. - CVE-2014-0480 ¶.
reverse()
может генерировать URL-адреса, указывающие на другие хосты. Полное описание
20 августа 2014 г. - CVE-2014-0481 ¶
Отказ в обслуживании загрузки файла. Полное описание
20 августа 2014 г. - CVE-2014-0482 ¶
RemoteUserMiddleware
угон сеанса. Полное описание
20 августа 2014 г. - CVE-2014-0483 ¶
Утечка данных через манипуляции со строкой запроса в админке. Полное описание
13 января 2015 г. - CVE-2015-0219 ¶.
Подмена заголовка WSGI с помощью сочетания подчеркивания и тире. Полное описание
13 января 2015 г. - CVE-2015-0220 ¶.
Снижены возможные атаки XSS через URL-адреса перенаправления, предоставленные пользователем. Полное описание
13 января 2015 г. - CVE-2015-0221 ¶.
Атака отказа в обслуживании против django.views.static.serve()
. Полное описание
13 января 2015 г. - CVE-2015-0222 ¶
Отказ в обслуживании базы данных с помощью ModelMultipleChoiceField
. Полное описание
9 марта 2015 г. - CVE-2015-2241 ¶.
XSS-атака через свойства в ModelAdmin.readonly_fields
. Полное описание
18 марта 2015 г. - CVE-2015-2316 ¶
Возможность отказа в обслуживании с strip_tags()
. Полное описание
18 марта 2015 г. - CVE-2015-2317 ¶
Сниженная атака XSS возможна через предоставляемые пользователем URL-адреса перенаправления. Полное описание
20 мая 2015 г. - CVE-2015-3982 ¶
Исправлена очистка сеанса в бэкэнде cached_db. Полное описание
8 июля 2015 г. - CVE-2015-5143 ¶.
Возможность отказа в обслуживании путем заполнения хранилища сессий. Полное описание
8 июля 2015 г. - CVE-2015-5144 ¶.
Возможность внедрения в заголовки, поскольку валидаторы принимают перевод строки в качестве ввода. Полное описание
8 июля 2015 г. - CVE-2015-5145 ¶.
Возможность отказа в обслуживании при проверке URL. Полное описание
18 августа 2015 г. - CVE-2015-5963 / CVE-2015-5964 ¶
Возможность отказа в обслуживании logout()
при заполнении хранилища сессий.
Полное описание
24 ноября 2015 г. - CVE-2015-8213 ¶.
Возможность утечки настроек в date
фильтре шаблона. Полное описание
1 февраля 2016 г. - CVE-2016-2048 ¶
Пользователь с правом «изменять», но не «добавлять» может создавать объекты для пользователей
ModelAdmin
с save_as=True
. Полное описание
1 марта 2016 г. - CVE-2016-2512 ¶
Вредоносное перенаправление и возможные атаки XSS через предоставленные пользователем URL-адреса перенаправления, содержащие базовую аутентификацию. Полное описание
1 марта 2016 г. - CVE-2016-2513 ¶
Перечисление пользователей по разнице во времени при обновлении рабочего фактора хеширования паролей. Полное описание
18 июля 2016 г. - CVE-2016-6186 ¶.
XSS в окнах для добавления / изменения связанных элементов. Полное описание
Затронутые версии ¶
- Django 1.9 (исправление)
- Django 1.8 (патч)
26 сентября 2016 г. - CVE-2016-7401 ¶
Обход защиты CSRF для сайта с помощью Google Analytics. Полное описание
Затронутые версии ¶
- Django 1.9 (исправление)
- Django 1.8 (патч)
1 ноября 2016 г. - CVE-2016-9013 ¶
Пользователь с жестко заданным паролем при запуске тестов с Oracle. Полное описание
Затронутые версии ¶
- Django 1.10 (патч)
- Django 1.9 (исправление)
- Django 1.8 (патч)
1 ноября 2016 г. - CVE-2016-9014 ¶
Уязвимость повторного связывания DNS с доменом DEBUG=True
. Полное описание
Затронутые версии ¶
- Django 1.10 (патч)
- Django 1.9 (исправление)
- Django 1.8 (патч)
4 апреля 2017 г. - CVE-2017-7233 ¶
Открытое перенаправление и возможные атаки XSS через URL-адреса цифрового перенаправления, предоставленные пользователями. Полное описание
Затронутые версии ¶
- Django 1.10 (патч)
- Django 1.9 (исправление)
- Django 1.8 (патч)
4 апреля 2017 г. - CVE-2017-7234 ¶
Уязвимость открытого перенаправления в django.views.static.serve()
. Полное описание
Затронутые версии ¶
- Django 1.10 (патч)
- Django 1.9 (исправление)
- Django 1.8 (патч)
5 сентября 2017 г. - CVE-2017-12794 ¶
Возможная атака XSS в разделе «трассировка» страницы 500 технической отладки. Полное описание
1 февраля 2018 г. - CVE-2018-6188 ¶
Утечка информации в форме AuthenticationForm
. Полное описание
6 марта 2018 г. - CVE-2018-7536 ¶
Возможность отказа в обслуживании в шаблонных фильтрах urlize
и urlizetrunc
. Полное описание
6 марта 2018 г. - CVE-2018-7537 ¶
Возможность отказа в обслуживании в шаблонных фильтрах truncatechars_html
и truncatewords_html
. Полное описание
1 августа 2018 г. - CVE-2018-14574 ¶
Возможность открытого перенаправления в CommonMiddleware
. Полное описание
1 октября 2018 г. - CVE-2018-16984 ¶
Раскрытие отпечатка пароля для пользователей сайта администрирования "только для чтения". Полное описание
4 января 2019 г. - CVE-2019-3498 ¶
Возможность подмены контента на странице 404 по умолчанию. Полное описание
11 февраля 2019 г. - CVE-2019-6975 ¶
Истощение памяти в django.utils.numberformat.format()
. Полное описание
Затронутые версии ¶
- Django 2.1 (патч)
- Django 2.0 (патч и исправление)
- Django 1.11 (патч)
3 июня 2019 г. - CVE-2019-11358 ¶
Загрязнение прототипа в связанном jQuery. Полное описание
3 июня 2019 г. - CVE-2019-12308 ¶
XSS через ссылку «Текущий URL», созданную AdminURLFieldWidget
. Полное описание
1 июля 2019 г. - CVE-2019-12781 ¶
Неправильное определение HTTP при подключении обратного прокси через HTTPS. Полное описание
1 августа 2019 г. - CVE-2019-14232 ¶
Возможность отказа в обслуживании в django.utils.text.Truncator
. Полное описание
1 августа 2019 г. - CVE-2019-14233 ¶
Возможность отказа в обслуживании в strip_tags()
. Полное описание
1 августа 2019 г. - CVE-2019-14234 ¶
Возможность SQL-инъекции при поиске по ключу и индексу для
JSONField
/ HStoreField
. Полное описание
1 августа 2019 г. - CVE-2019-14235 ¶
Возможное истощение памяти в django.utils.encoding.uri_to_iri()
. Полное описание
2 декабря 2019 г. - CVE-2019-19118 ¶
Повышение привилегий в админке Django. Полное описание
18 декабря 2019 г. - CVE-2019-19844 ¶
Возможный захват аккаунта через форму сброса пароля. Полное описание
3 февраля 2020 г. - CVE-2020-7471 ¶
Возможная SQL-инъекция через StringAgg(delimiter)
. Полное описание
4 марта 2020 г. - CVE-2020-9402 ¶
Возможное внедрение SQL через tolerance
параметр в функциях ГИС и агрегатах Oracle. Полное описание
3 июня 2020 г. - CVE-2020-13254 ¶
Возможная утечка данных через неверно сформированные ключи memcached. Полное описание
3 июня 2020 г. - CVE-2020-13596 ¶
Возможен XSS через админку ForeignKeyRawIdWidget
. Полное описание