Django密码重置处的账户劫持漏洞风险通告
发布时间 2019-12-19漏洞编号和级别
CVE编号:CVE-2019-19844,危险级别:高危,CVSS分值:官方未评定
影响版本
Django < 1.11.27
Django 2.x < 2.2.9
Django 3.x < 3.0.1
漏洞概述
Django是Django基金会的一套基于Python语言的开源Web应用框架。该框架包括面向对象的映射器、视图系统、模板系统等。
Django 在2019年12月18日进行了安全补丁更新, 修复了一个密码重置处的账户劫持漏洞。该漏洞由于Django的密码重置功能不区分大小写的来对数据库进行邮箱地址查询,在处理Unicode的大小写转换时存在解析问题,可能会导致账户劫持问题。
漏洞验证
暂无POC/EXP。
修复建议
目前厂商已发布升级补丁,请更新Django版本到3.0.1、2.2.9、1.11.27:https://www.djangoproject.com/weblog/2019/dec/18/security-releases/。
参考链接
https://www.djangoproject.com/weblog/2019/dec/18/security-releases/
京公网安备11010802024551号