Django的开发团队坚决致力于负责任地报告和披露与安全相关的问题,如Django’s security policies中所述。
作为该承诺的一部分,我们保留以下历史清单,列出已确定和披露的问题。对于每个问题,以下列表包括日期,简要说明,CVE标识符(如果适用),受影响版本的列表,完整披露的链接以及到相应补丁的链接。
一些重要的警告适用于此信息:
在Django使用正式的安全进程之前,处理了一些安全问题。对于这些,当时可能没有发布新版本,CVE可能尚未分配。
CVE-2007-0404:翻译框架中的文件名验证问题。完整说明
所有其他安全问题已在Django安全过程的版本下处理。这些列在下面。
CVE-2008-2302:XSS通过管理员登录重定向。完整说明
CVE-2008-3909:CSRF通过在管理员登录期间保存POST数据。完整说明
CVE-2009-2659:开发服务器媒体处理程序中的目录遍历。完整说明
CVE-2009-3965:通过病理正规表达性能的拒绝服务。完整说明
CVE-2010-3082:XSS通过信任不安全的Cookie值。完整说明
CVE-2010-4534:管理界面中的信息泄露。完整说明
CVE-2010-4535:密码重置机制中的拒绝服务。完整说明
CVE-2011-0696:CSRF通过伪造的HTTP标头。完整说明
CVE-2011-0697:通过未上传的文件名称进行XSS。完整说明
CVE-2011-0698:在Windows上通过不正确的路径分隔符处理进行目录遍历。完整说明
CVE-2011-4136:使用内存高速缓存支持的会话时的会话操作。完整说明
CVE-2011-4137:拒绝服务通过URLField.verify_exists。完整说明
CVE-2011-4138:通过URLField.verify_exists发送信息泄漏/任意请求。完整说明
CVE-2011-4139:Host标题缓存中毒。完整说明
CVE-2011-4140:通过Host标头的潜在CSRF。完整说明
CVE-2012-3442:XSS通过无法验证重定向方案。完整说明
CVE-2012-3443:通过压缩图像文件进行拒绝服务。完整说明
CVE-2012-3444:通过大型图像文件进行拒绝服务。完整说明
CVE-2012-4520:Host标题中毒。完整说明
CVE-2013-1664和CVE-2013-1665:基于实体的针对Python XML库的攻击。完整说明
CVE-2013-0305:通过管理历史记录泄漏信息。完整说明
CVE-2013-0306:通过表单集拒绝服务max_num绕过。完整说明
CVE-2013-4315目录遍历通过ssi模板标记。完整说明
CVE-2013-1443:通过大密码拒绝服务。完整说明
CVE-2014-0472:使用reverse()意外执行代码。完整说明
CVE-2014-0473:缓存匿名页面可能会显示CSRF令牌。完整说明
CVE-2014-0474:MySQL类型转换会导致意外的查询结果。完整说明
CVE-2014-1418:可以允许高速缓存存储和提供私有数据。完整说明
CVE-2014-3730:用户输入的格式错误的网址验证不正确。完整说明
CVE-2014-0480:reverse()可以生成指向其他主机的URL。完整说明
CVE-2014-0481:文件上传拒绝服务。完整说明
CVE-2014-0482:RemoteUserMiddleware会话劫持。完整说明
CVE-2014-0483:在admin中通过querystring操作泄漏数据。完整说明
CVE-2015-0219:通过下划线/破折号混淆的WSGI标题欺骗。完整说明
CVE-2015-0220:通过用户提供的重定向网址缓解可能的XSS攻击。完整说明
CVE-2015-0221:针对django.views.static.serve()的拒绝服务攻击。完整说明
2015年5月13日