漏洞标题
N/A
漏洞描述信息
在Django 1.1.3、1.2.x在1.2.4之前和1.3.x在1.3 beta 1之前之前,Django contrib.admin 中的管理员界面未正确限制使用查询字符串进行某些对象过滤,这允许远程登录的用户通过包含正则表达式的一系列请求获取敏感信息,如创建者__password__regex 参数所示。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
The administrative interface in django.contrib.admin in Django before 1.1.3, 1.2.x before 1.2.4, and 1.3.x before 1.3 beta 1 does not properly restrict use of the query string to perform certain object filtering, which allows remote authenticated users to obtain sensitive information via a series of requests containing regular expressions, as demonstrated by a created_by__password__regex parameter.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Django django.contrib.admin管理界面信息泄露漏洞
漏洞描述信息
Django是Django软件基金会的一套基于Python语言的开源Web应用框架。该框架包括面向对象的映射器、视图系统、模板系统等。 Django 1.1.3之前版本,1.2.4之前的1.2.x版本,以及1.3 beta 1之前的1.3.x版本中的django.contrib.admin中的管理界面没有正确限制执行某个对象过滤的查询字符串的使用。远程认证用户可以借助一系列包含正则表达式的请求获取敏感信息。该漏洞已经通过created_by__password__regex参数得到证实。
CVSS信息
N/A
漏洞类别
授权问题