Архив вопросов безопасности ¶
Команда разработчиков Django твердо привержена ответственному составлению отчетов и раскрытию проблем, связанных с безопасностью, как указано в политиках безопасности Django .
В рамках этого обязательства мы ведем следующий исторический список проблем, которые были исправлены и раскрыты. Для каждой проблемы приведенный ниже список включает дату, краткое описание, идентификатор CVE, если применимо, список затронутых версий, ссылку на полное раскрытие и ссылки на соответствующие исправления.
К этой информации относятся некоторые важные предостережения:
- Списки уязвимых версий включают только те версии Django, которые на момент раскрытия имели стабильные выпуски с поддержкой безопасности. Это означает, что более старые версии (срок поддержки безопасности которых истек) и версии, которые находились в предварительном выпуске (альфа / бета / RC) на момент раскрытия, могли быть затронуты, но не перечислены.
- Проект Django время от времени выпускал рекомендации по безопасности, указывающие на потенциальные проблемы безопасности, которые могут возникнуть из-за неправильной конфигурации или других проблем, не связанных с самим Django. Некоторые из этих рекомендаций получили CVE; в этом случае они перечислены здесь, но, поскольку они не имеют сопутствующих исправлений или выпусков, будут перечислены только описание, раскрытие и CVE.
Проблемы с безопасностью Django ¶
Все проблемы с безопасностью решаются в версиях процесса безопасности Django. Они перечислены ниже.
6 апреля 2021 г. - CVE-2021-28658 ¶
Возможный обход каталога через загруженные файлы. Полное описание
19 февраля 2021 г. - CVE-2021-23336 ¶
Отравление веб-кеша через django.utils.http.limited_parse_qsl()
. Полное описание
1 февраля 2021 г. - CVE-2021-3281 ¶
Возможный обход каталога через archive.extract()
. Полное описание
1 сентября 2020 г. - CVE-2020-24584 ¶
Повышение разрешений в каталогах промежуточного уровня кеша файловой системы на Python 3.7+. Полное описание
1 сентября 2020 г. - CVE-2020-24583 ¶
Неправильные разрешения для каталогов среднего уровня в Python 3.7+. Полное описание
3 июня 2020 г. - CVE-2020-13596 ¶
Возможен XSS через админку ForeignKeyRawIdWidget
. Полное описание
3 июня 2020 г. - CVE-2020-13254 ¶
Возможная утечка данных через неверно сформированные ключи memcached. Полное описание
4 марта 2020 г. - CVE-2020-9402 ¶
Возможная SQL-инъекция через tolerance
параметр в функциях ГИС и агрегатах Oracle. Полное описание
3 февраля 2020 г. - CVE-2020-7471 ¶
Возможная SQL-инъекция через StringAgg(delimiter)
. Полное описание
18 декабря 2019 г. - CVE-2019-19844 ¶
Возможный захват аккаунта через форму для сброса пароля. Полное описание
2 декабря 2019 г. - CVE-2019-19118 ¶
Повышение привилегий в админке Django. Полное описание
1 августа 2019 г. - CVE-2019-14235 ¶
Возможное истощение памяти в django.utils.encoding.uri_to_iri()
. Полное описание
1 августа 2019 г. - CVE-2019-14234 ¶
Возможность SQL-инъекции при поиске по ключу и индексу для
JSONField
/ HStoreField
. Полное описание
1 августа 2019 г. - CVE-2019-14233 ¶
Возможность отказа в обслуживании в strip_tags()
. Полное описание
1 августа 2019 г. - CVE-2019-14232 ¶
Возможность отказа в обслуживании в django.utils.text.Truncator
. Полное описание
1 июля 2019 г. - CVE-2019-12781 ¶
Некорректное определение HTTP при подключении обратного прокси через HTTPS. Полное описание
3 июня 2019 г. - CVE-2019-12308 ¶
XSS через ссылку «Текущий URL», созданную AdminURLFieldWidget
. Полное описание
3 июня 2019 г. - CVE-2019-11358 ¶
Загрязнение прототипа в связанном jQuery. Полное описание
11 февраля 2019 г. - CVE-2019-6975 ¶
Истощение памяти в django.utils.numberformat.format()
. Полное описание
Затронутые версии ¶
- Django 2.1 (патч)
- Django 2.0 (патч и исправление)
- Django 1.11 (патч)
4 января 2019 г. - CVE-2019-3498 ¶
Возможность подмены контента на странице 404 по умолчанию. Полное описание
1 октября 2018 г. - CVE-2018-16984 ¶
Раскрытие хэша пароля для пользователей с правами администратора «только для просмотра». Полное описание
1 августа 2018 г. - CVE-2018-14574 ¶
Возможность открытого редиректа в CommonMiddleware
. Полное описание
6 марта 2018 г. - CVE-2018-7537 ¶
Отказ в обслуживании возможность в truncatechars_html
и
truncatewords_html
фильтры шаблонов. Полное описание
6 марта 2018 г. - CVE-2018-7536 ¶
Отказ в обслуживании возможность в urlize
и urlizetrunc
фильтры шаблонов. Полное описание
1 февраля 2018 г. - CVE-2018-6188 ¶
Утечка информации в AuthenticationForm
. Полное описание
5 сентября 2017 г. - CVE-2017-12794 ¶
Возможный XSS в разделе трассировки на странице отладки Technical 500. Полное описание
4 апреля 2017 г. - CVE-2017-7234 ¶
Уязвимость открытого перенаправления в django.views.static.serve()
. Полное описание
4 апреля 2017 г. - CVE-2017-7233 ¶
Открытое перенаправление и возможная XSS-атака через предоставленные пользователем числовые URL-адреса перенаправления. Полное описание
1 ноября 2016 г. - CVE-2016-9014 ¶
Уязвимость перепривязки DNS, когда DEBUG=True
. Полное описание
1 ноября 2016 г. - CVE-2016-9013 ¶
Пользователь с жестко заданным паролем, созданным при запуске тестов в Oracle. Полное описание
26 сентября 2016 г. - CVE-2016-7401 ¶
Обход защиты CSRF на сайте с помощью Google Analytics. Полное описание
18 июля 2016 г. - CVE-2016-6186 ¶.
XSS во всплывающем окне администратора, связанном с добавлением / изменением. Полное описание
1 марта 2016 г. - CVE-2016-2513 ¶
Перечисление пользователей по разнице во времени при обновлении коэффициента работы хешера паролей. Полное описание
1 марта 2016 г. - CVE-2016-2512 ¶
Вредоносное перенаправление и возможная атака XSS через предоставленные пользователем URL-адреса перенаправления, содержащие базовую аутентификацию. Полное описание
1 февраля 2016 г. - CVE-2016-2048 ¶
Пользователь с правом «изменять», но не «добавлять» может создавать объекты для пользователей
ModelAdmin
с save_as=True
. Полное описание
24 ноября 2015 г. - CVE-2015-8213 ¶.
Возможность утечки настроек в date
фильтре шаблона. Полное описание
18 августа 2015 г. - CVE-2015-5963 / CVE-2015-5964 ¶.
Возможность отказа в обслуживании logout()
при заполнении хранилища сессий.
Полное описание
8 июля 2015 г. - CVE-2015-5145 ¶.
Возможность отказа в обслуживании при проверке URL. Полное описание
8 июля 2015 г. - CVE-2015-5144 ¶.
Возможность внедрения заголовка, поскольку валидаторы принимают ввод новой строки. Полное описание
8 июля 2015 г. - CVE-2015-5143 ¶.
Возможность отказа в обслуживании путем заполнения хранилища сессий. Полное описание
20 мая 2015 г. - CVE-2015-3982 ¶.
Исправлена очистка сеанса в бэкэнде cached_db. Полное описание
18 марта 2015 г. - CVE-2015-2317 ¶.
Снижены возможные атаки XSS через URL-адреса перенаправления, предоставленные пользователем. Полное описание
18 марта 2015 г. - CVE-2015-2316 ¶.
Возможность отказа в обслуживании с strip_tags()
. Полное описание
9 марта 2015 г. - CVE-2015-2241 ¶.
XSS-атака через свойства в ModelAdmin.readonly_fields
. Полное описание
13 января 2015 г. - CVE-2015-0222 ¶.
Отказ в обслуживании базы данных с помощью ModelMultipleChoiceField
. Полное описание
13 января 2015 г. - CVE-2015-0221 ¶.
Атака отказа в обслуживании django.views.static.serve()
. Полное описание
13 января 2015 г. - CVE-2015-0220 ¶.
Снижены возможные атаки XSS через URL-адреса перенаправления, предоставленные пользователем. Полное описание
13 января 2015 г. - CVE-2015-0219 ¶.
Подмена заголовка WSGI с помощью сочетания подчеркивания и тире. Полное описание
20 августа 2014 г. - CVE-2014-0483 ¶
Утечка данных через манипуляции со строкой запроса в админке. Полное описание
20 августа 2014 г. - CVE-2014-0482 ¶
RemoteUserMiddleware
захват сеанса. Полное описание
20 августа 2014 г. - CVE-2014-0481 ¶
Отказ в обслуживании загрузки файла. Полное описание
20 августа 2014 г. - CVE-2014-0480 ¶.
reverse()
может генерировать URL-адреса, указывающие на другие хосты. Полное описание
18 мая 2014 г. - CVE-2014-3730 ¶.
Некорректно сформированные URL-адреса, введенные пользователем. Полное описание
18 мая 2014 г. - CVE-2014-1418 ¶
Кэшам может быть разрешено хранить и обслуживать личные данные. Полное описание
21 апреля 2014 г. - CVE-2014-0474 ¶
Приведение типов MySQL вызывает неожиданные результаты запроса. Полное описание
21 апреля 2014 г. - CVE-2014-0473 ¶
Кеширование анонимных страниц может выявить токен CSRF. Полное описание
21 апреля 2014 г. - CVE-2014-0472 ¶
Неожиданное выполнение кода с использованием reverse()
. Полное описание
14 сентября 2013 г. - CVE-2013-1443 ¶
Отказ в обслуживании с использованием больших паролей. Полное описание
Затронутые версии ¶
- Django 1.4 (патч и исправление совместимости с Python)
- Django 1.5 (патч)
10 сентября 2013 г. - CVE-2013-4315 ¶
Обход каталога с помощью ssi
тега шаблона. Полное описание
13 августа 2013 г. - CVE-2013-6044 ¶
Возможен XSS через схемы перенаправления непроверенных URL. Полное описание
13 августа 2013 г. - CVE-2013-4249 ¶
XSS через доверительные URLField
значения администратора . Полное описание
19 февраля 2013 г. - CVE-2013-0306 ¶
Отказ в обслуживании через max_num
обход набора форм . Полное описание
19 февраля 2013 г. - CVE-2013-0305 ¶
Утечка информации через журнал истории администратора. Полное описание
19 февраля 2013 г. - CVE-2013-1664 / CVE-2013-1665 ¶
Атаки на основе сущностей на библиотеки Python XML. Полное описание
19 февраля 2013 г. - CVE отсутствует ¶
Дополнительное усиление Host
обработки жатки. Полное описание
10 декабря 2012 г. - нет CVE 2 ¶
Дополнительное усиление проверки перенаправления. Полное описание
10 декабря 2012 г. - нет CVE 1 ¶
Дополнительное усиление Host
обработки жатки. Полное описание
17 октября 2012 г. - CVE-2012-4520 ¶.
Host
отравление заголовка. Полное описание
30 июля 2012 г. - CVE-2012-3444 ¶.
Отказ в обслуживании через большие файлы изображений. Полное описание
30 июля 2012 г. - CVE-2012-3443 ¶.
Отказ в обслуживании через сжатые файлы изображений. Полное описание
30 июля 2012 г. - CVE-2012-3442 ¶.
XSS из-за невозможности проверить схему перенаправления. Полное описание
9 сентября 2011 г. - CVE-2011-4140 ¶.
Возможный CSRF через Host
заголовок. Полное описание
Затронутые версии ¶
Это уведомление носило рекомендательный характер, поэтому никаких исправлений выпущено не было.
- Django 1.2
- Django 1.3
9 сентября 2011 г. - CVE-2011-4139 ¶
Host
заражение кеша заголовков. Полное описание
9 сентября 2011 г. - CVE-2011-4138 ¶
Утечка информации / произвольная выдача запроса через URLField.verify_exists
.
Полное описание
9 сентября 2011 г. - CVE-2011-4137 ¶
Отказ в обслуживании через URLField.verify_exists
. Полное описание
9 сентября 2011 г. - CVE-2011-4136 ¶
Управление сеансом при использовании сеанса с поддержкой кеш-памяти. Полное описание
8 февраля 2011 г. - CVE-2011-0698 ¶
Обход каталогов в Windows из-за неправильной обработки разделителя путей. Полное описание
8 февраля 2011 г. - CVE-2011-0697 ¶
XSS с использованием необработанных имен загружаемых файлов. Полное описание
8 февраля 2011 г. - CVE-2011-0696 ¶
CSRF через поддельные заголовки HTTP. Полное описание
22 декабря 2010 г. - CVE-2010-4535 ¶.
Отказ в обслуживании в механизме сброса пароля. Полное описание
22 декабря 2010 г. - CVE-2010-4534 ¶.
Утечка информации в административном интерфейсе. Полное описание
8 сентября 2010 г. - CVE-2010-3082 ¶.
XSS через доверие небезопасному значению cookie. Полное описание
9 октября 2009 г. - CVE-2009-3965 ¶
Отказ в обслуживании из-за патологической производительности регулярных выражений. Полное описание
28 июля 2009 г. - CVE-2009-2659 ¶.
Обход каталога в обработчике носителей сервера разработки. Полное описание
2 сентября 2008 г. - CVE-2008-3909 ¶
CSRF через сохранение данных POST во время входа в систему администратора. Полное описание
14 мая 2008 г. - CVE-2008-2302 ¶
XSS через перенаправление входа администратора. Полное описание
26 октября 2007 г. - CVE-2007-5712 ¶
Отказ в обслуживании через Accept-Language
заголовок произвольно большого размера . Полное описание
Проблемы, предшествующие процессу безопасности Django ¶
Некоторые проблемы безопасности были решены до того, как в Django появился формализованный процесс безопасности. Для них новые выпуски могут не быть выпущены в то время, и CVE могут не быть назначены.
21 января 2007 г. - CVE-2007-0405 ¶
Видимое «кеширование» аутентифицированного пользователя. Полное описание
16 августа 2006 г. - CVE-2007-0404 ¶
Проблема с проверкой имени файла в системе перевода. Полное описание