【安全漏洞公告】Django驗證繞過漏洞
一、漏洞簡介
|
CVE ID
|
CVE-2023-31047
|
公開日期
|
2023-05-04
|
|
危害級別
|
高危
|
攻擊復雜程度
|
低
|
|
POC/EXP
|
未公開
|
攻擊途徑
|
遠程網絡
|
Django是一個基����于(yu)Python的(de)開源(yuan)Web應用(yong)框架,在受(shou)影響的(de)Django版(ban)本中,當使(shi)用(yong)一個表單字段上傳(chuan)多個文件時僅驗證(zheng)(zheng)最后(hou)上傳(chuan)的(de)文件,這可能會繞過驗證(zheng)(zheng),導致(zhi)文件上傳(chuan)。
二、影響范圍
Django版本4.2:< 4.2.1
Django版本4.1:< 4.1.9
Django版(ban)本3.2:< 3.2.19
三、解決措施
目前(qian)該漏洞已經(jing)修復,受影響用戶可升級到以下版本:
Django版本(ben)4.2:>=4.2.1
Django版本4.1:>=4.1.9
Django版本3.2:>=3.2.19
下載鏈接:
//www.�����djangoproject.com/weblog/�����2023/may/03/security-releases/
四、參考鏈接
//www.djangoproject.com/weblog/2023/may/03/security-r�����eleases/���
//docs.djangop�������roj������ect.com/en/4.2/topics/http/file-uploads/#uploading-multiple-files
