首頁 > 安全研究 > 安全通報 > 安全通告

Django密碼重置處的賬戶劫持漏洞風險通告

發布時間 2019-12-19

漏洞編號和級別


CVE編號:CVE-2019-19844,危險級別:高危,CVSS分值:官方未評定


影響版本


Django < 1.11.27

Django 2.x < 2.2.9

Django 3.x < 3.0.1


漏洞概述


Django是Django基金會的一套基于Python語言的開源Web應用框架。該框架包括面向對象的映射器、視圖系統、模板系統等。


Django 在2019年12月18日進行了安全補丁更新, 修復了一個密碼重置處的賬戶劫持漏洞。該漏洞由于Django的密碼重置功能不區分大小寫的來對數據庫進行郵箱地址查詢,在處理Unicode的大小寫轉換時存在解析問題,可能會導致賬戶劫持問題。


漏洞驗證


暫無POC/EXP。


修復建議


目前廠商已發布升級補丁,請更新Django版本到3.0.1、2.2.9、1.11.27:https://www.djangoproject.com/weblog/2019/dec/18/security-releases/。


參考鏈接


https://www.djangoproject.com/weblog/2019/dec/18/security-releases/


上一篇 下一篇