漏洞标题
N/A
漏洞描述信息
Django 1.2.7 和 1.3.x 版本以及更高版本的 Django 中的 CSRF 保护机制没有正确地处理支持任意 HTTP 主机头的配置,这导致远程攻击者可以通过涉及 DNS CNAME 记录和包含 JavaScript 代码的页面来触发未授权的伪造请求。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
The CSRF protection mechanism in Django through 1.2.7 and 1.3.x through 1.3.1 does not properly handle web-server configurations supporting arbitrary HTTP Host headers, which allows remote attackers to trigger unauthenticated forged requests via vectors involving a DNS CNAME record and a web page containing JavaScript code.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Django CSRF机制跨站请求伪造漏洞
漏洞描述信息
Django是Django软件基金会的一套基于Python语言的开源Web应用框架。该框架包括面向对象的映射器、视图系统、模板系统等。 Django 1.2.7版本和1.3.x至1.3.1版本中的CSRF保护机制中存在跨站请求伪造漏洞。由于不能正确处理支持任意HTTP主机头的web服务器配置,远程攻击者借助包含DNS CNAME记录的向量和包含JavaScript代码的web页面触发未认证的伪造请求。
CVSS信息
N/A
漏洞类别
跨站请求伪造