漏洞标题
N/A
漏洞描述信息
"在Django 1.4.x版本在1.4.7之前、1.5.x版本在1.5.3之前以及1.6.x版本在1.6 beta 3之前,存在目录遍历漏洞,允许远程攻击者通过在 Allowed_INCLUDE_ROOTS 设置中的文件路径,以及.. 符号在 ssi 模板标签中访问任意文件。"
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Directory traversal vulnerability in Django 1.4.x before 1.4.7, 1.5.x before 1.5.3, and 1.6.x before 1.6 beta 3 allows remote attackers to read arbitrary files via a file path in the ALLOWED_INCLUDE_ROOTS setting followed by a .. (dot dot) in a ssi template tag.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Django 目录遍历漏洞
漏洞描述信息
Django是Django软件基金会的一套基于Python语言的开源Web应用框架。该框架包括面向对象的映射器、视图系统、模板系统等。 Django中存在目录遍历漏洞。远程攻击者可通过向ALLOWED_INCLUDE_ROOTS设置中的ssi模板标签的文件路径中插入‘..’,利用该漏洞读取任意文件。以下版本受到影响:Django 1.4.7之前的1.4.x版本,1.5.3之前的1.5.x版本,以及1.6 beta 3之前的1.6.x版本。
CVSS信息
N/A
漏洞类别
路径遍历