安全问题档案

Django的开发团队坚定地致力于负责任地报告和披露与安全相关的问题,正如Django’s security policies中所述。

作为这一承诺的一部分,我们保留以下历史性的已经确定和披露的问题清单。 For each issue, the list below includes the date, a brief description, the CVE identifier if applicable, a list of affected versions, a link to the full disclosure and links to the appropriate patch(es).

一些重要的注意事项适用于这些信息:

  • 受影响版本的列表只包括那些在披露时具有稳定的,受安全支持的版本的Django版本。 这意味着旧版本(其安全支持已过期)以及在发布前(alpha / beta / RC)状态的版本可能已经受到影响,但未列出。
  • Django项目有时会发布安全建议,指出由于配置不当或Django本身以外的其他问题而可能出现的潜在安全问题。 其中一些建议已收到CVE;如果是这种情况,则列在这里,但由于它们没有附带的补丁或版本,因此只会列出说明,披露和CVE。

Django安全过程之前的问题

在Django使用正式的安全过程之前,一些安全问题已经被处理。 对于这些,新版本可能尚未发布,CVE可能尚未分配。

2006年8月16日 - CVE-2007-0404

翻译框架中的文件名验证问题。 完整描述

受影响的版本

2007年1月21日 - CVE-2007-0405

明显的“高速缓存”认证用户。 完整描述

受影响的版本

Django安全过程中的问题

所有其他安全问题已在Django安全性流程的版本中处理。 这些在下面列出。

2007年10月26日 - CVE-2007-5712

Denial-of-service via arbitrarily-large Accept-Language header. 完整描述

受影响的版本

2008年5月14日 - CVE-2008-2302

XSS通过管理员登录重定向。 完整描述

受影响的版本

2008年9月2日 - CVE-2008-3909

CSRF通过在管理员登录期间保存POST数据。 完整描述

受影响的版本

2009年7月28日 - CVE-2009-2659

开发服务器媒体处理程序中的目录遍历。 完整描述

受影响的版本

2009年10月9日 - CVE-2009-3965

通过病理正则表达式的拒绝服务。 完整描述

受影响的版本

2010年9月8日 - CVE-2010-3082

XSS通过信任不安全的cookie值。 完整描述

受影响的版本

2010年12月22日 - CVE-2010-4534

管理界面中的信息泄漏。 完整描述

受影响的版本

2010年12月22日 - CVE-2010-4535

密码重置机制中的拒绝服务。 完整描述

受影响的版本

2011年2月8日 - CVE-2011-0696

CSRF通过伪造的HTTP头。 完整描述

受影响的版本

2011年2月8日 - CVE-2011-0697

XSS通过上传文件的unsanitized名称。 完整描述

受影响的版本

2011年2月8日 - CVE-2011-0698

在Windows上通过不正确的路径分隔符处理进行目录遍历。 完整描述

受影响的版本

2011年9月9日 - CVE-2011-4136

使用内存缓存支持的会话时的会话操作。 完整描述

受影响的版本

2011年9月9日 - CVE-2011-4137

通过URLField.verify_exists拒绝服务。 完整描述

受影响的版本

2011年9月9日 - CVE-2011-4138

信息泄露/任意请求通过URLField.verify_exists发布。 完整描述

受影响的版本

2011年9月9日 - CVE-2011-4139

Host header cache poisoning. 完整描述

受影响的版本

2011年9月9日 - CVE-2011-4140

潜在的CSRF通过Host标头。 完整描述

受影响的版本

这个通知只是一个建议,所以没有发布补丁。

  • Django 1.2
  • Django 1.3

2012年7月30日 - CVE-2012-3442

XSS通过验证重定向方案失败。 完整描述

受影响的版本

2012年7月30日 - CVE-2012-3443

通过压缩的图像文件拒绝服务。 完整描述

受影响的版本

2012年7月30日 - CVE-2012-3444

通过大图像文件拒绝服务。 完整描述

受影响的版本

2012年10月17日 - CVE-2012-4520

Host header poisoning. 完整描述

受影响的版本

2012年12月10日 - 没有CVE 1

Host标题处理的额外强化。 完整描述

受影响的版本

2012年12月10日 - 无CVE 2

额外的重定向验证强化。 完整描述

受影响的版本

2013年2月19日 - 无CVE

Host标题处理的额外强化。 完整描述

受影响的版本

2013年2月19日 - CVE-2013-1664 / CVE-2013-1665

针对Python XML库的基于实体的攻击。 完整描述

受影响的版本

2013年2月19日 - CVE-2013-0305

通过管理历史日志泄漏信息。 完整描述

受影响的版本

2013年2月19日 - CVE-2013-0306

通过formset max_num旁路拒绝服务。 完整描述

受影响的版本

2013年8月13日 - CVE-2013-4249

XSS通过管理员信任URLField值。 完整描述

受影响的版本

2013年8月13日 - CVE-2013-6044

可能的XSS通过未经验证的URL重定向方案。 完整描述

受影响的版本

2013年9月10日 - CVE-2013-4315

通过ssi模板标签进行目录遍历。 完整描述

受影响的版本

2013年9月14日 - CVE-2013-1443

通过大密码拒绝服务。 完整描述

受影响的版本

2014年4月21日 - CVE-2014-0472

使用reverse()执行意外的代码。 完整描述

受影响的版本

2014年4月21日 - CVE-2014-0473

缓存匿名页面可以显示CSRF令牌。 完整描述

受影响的版本

2014年4月21日 - CVE-2014-0474

MySQL类型转换导致意外的查询结果。 完整描述

受影响的版本

2014年5月18日 - CVE-2014-1418

缓存可能被允许存储和提供私人数据。 完整描述

受影响的版本

2014年5月18日 - CVE-2014-3730

来自用户输入的格式不正确的URL未正确验证。 完整描述

受影响的版本

2014年8月20日 - CVE-2014-0480

reverse() can generate URLs pointing to other hosts. 完整描述

受影响的版本

2014年8月20日 - CVE-2014-0481

文件上传拒绝服务。 完整描述

受影响的版本

2014年8月20日 - CVE-2014-0482

RemoteUserMiddleware session hijacking. 完整描述

受影响的版本

2014年8月20日 - CVE-2014-0483

管理员通过查询字符串操作泄漏数据 完整描述

受影响的版本

2015年1月13日 - CVE-2015-0219

WSGI标题通过下划线/破折号混合欺骗。 完整描述

受影响的版本

2015年1月13日 - CVE-2015-0220

通过用户提供的重定向URL减轻了可能的XSS攻击。 完整描述

受影响的版本

2015年1月13日 - CVE-2015-0221

针对django.views.static.serve()的拒绝服务攻击。 完整描述

受影响的版本

2015年1月13日 - CVE-2015-0222

Database denial-of-service with ModelMultipleChoiceField. 完整描述

受影响的版本

2015年3月9日 - CVE-2015-2241

通过ModelAdmin.readonly_fields中的属性进行XSS攻击。 完整描述

受影响的版本

2015年3月18日 - CVE-2015-2316

使用strip_tags()拒绝服务的可能性。 完整描述

受影响的版本

2015年3月18日 - CVE-2015-2317

通过用户提供的重定向URL减轻了可能的XSS攻击。 完整描述

受影响的版本

2015年5月20日 - CVE-2015-3982

修复了cached_db后端的会话刷新。 完整描述

受影响的版本

2015年7月8日 - CVE-2015-5143

通过填充会话存储拒绝服务的可能性。 完整描述

受影响的版本

2015年7月8日 - CVE-2015-5144

自验证器在输入中接受换行符后,可能会有头部注入。 完整描述

受影响的版本

2015年7月8日 - CVE-2015-5145

在URL验证中拒绝服务的可能性。 完整描述

受影响的版本

2015年8月18日 - CVE-2015-5963 / CVE-2015-5964

通过填充会话存储在logout()视图中拒绝服务的可能性。 完整描述

受影响的版本

2015年11月24日 - CVE-2015-8213

Settings leak possibility in date template filter. 完整描述

受影响的版本

2016年2月1日 - CVE-2016-2048

User with “change” but not “add” permission can create objects for ModelAdmin’s with save_as=True. 完整描述

受影响的版本

2016年3月1日 - CVE-2016-2512

通过用户提供的包含基本身份验证的重定向URL进行恶意重定向和可能的XSS攻击。 完整描述

受影响的版本

2016年3月1日 - CVE-2016-2513

用户枚举通过密码之间的时差进行工作因子升级。 完整描述

受影响的版本

2016年7月18日 - CVE-2016-6186

XSS在管理员的添加/更改相关的弹出窗口。 完整描述

受影响的版本

2016年9月26日 - CVE-2016-7401

使用Google Analytics(分析)在网站上绕过CSRF保护。 完整描述

受影响的版本

2016年11月1日 - CVE-2016-9013

在Oracle上运行测试时创建具有硬编码密码的用户。 完整描述

受影响的版本

2016年11月1日 - CVE-2016-9014

DEBUG=True时出现DNS重绑定漏洞。 完整描述

受影响的版本

2017年4月4日 - CVE-2017-7233

通过用户提供的数字重定向URL打开重定向和可能的XSS攻击。 完整描述

受影响的版本

2017年4月4日 - CVE-2017-7234

django.views.static.serve()中打开重定向漏洞。 完整描述

受影响的版本

2017年9月5日 - CVE-2017-12794

技术500调试页的回溯段中可能的XSS。 完整描述

受影响的版本