漏洞标题
N/A
漏洞描述信息
在Django 1.2.7 和 1.3.x 之前版本中,URLField 实现的 verify_exists 功能最初通过 Head 请求测试 URL 的有效性,但在重定向情况下,它使用 GET 请求生成新的目标 URL,这可能导致远程攻击者通过编写的 Location 头触发不必要的 GET 请求。
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
The verify_exists functionality in the URLField implementation in Django before 1.2.7 and 1.3.x before 1.3.1 originally tests a URL's validity through a HEAD request, but then uses a GET request for the new target URL in the case of a redirect, which might allow remote attackers to trigger arbitrary GET requests with an unintended source IP address via a crafted Location header.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Django 输入验证错误错误漏洞
漏洞描述信息
Django是Django基金会的一套基于Python语言的开源Web应用框架。该框架包括面向对象的映射器、视图系统、模板系统等。 Django 1.2.7之前版本和 1.3.1之前的1.3.x版本的URLField安装启用中的verify_exists函数中存在输入验证错误漏洞。由于最初通过HEAD请求检测URL的验证,但是接着向新目标URL使用GET请求用于重定向,远程攻击者可借助特制的Location头,并且以一个意外的源IP地址触发任意GET请求。
CVSS信息
N/A
漏洞类别
输入验证错误