漏洞标题
N/A
漏洞描述信息
Django 1.1.x 之前版本(1.1.4 及之前)和 1.2.x 之前版本(1.2.5 及之前)未能正确验证包含 X-Requested-With 头的请求,这使远程攻击者更容易通过Forged AJAX请求(利用浏览器插件和转向的组合)进行跨站点请求伪造(CSRF)攻击,与 CVE-2011-0447 相关。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Django 1.1.x before 1.1.4 and 1.2.x before 1.2.5 does not properly validate HTTP requests that contain an X-Requested-With header, which makes it easier for remote attackers to conduct cross-site request forgery (CSRF) attacks via forged AJAX requests that leverage a "combination of browser plugins and redirects," a related issue to CVE-2011-0447.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Django HTTP请求跨站请求伪造漏洞
漏洞描述信息
Django 是Python编程语言驱动的一个开源Web应用程序框架。 Django 1.1.4之前的1.1.x版本及1.2.5之前的1.2.x版本没有正确验证包含X-Requested-With头的HTTP请求。远程攻击者更容易借助利用了"组合的浏览器插件及HTTP重定向"的伪造AJAX请求进行跨站请求伪造攻击。
CVSS信息
N/A
漏洞类别
跨站请求伪造