漏洞标题
N/A
漏洞描述信息
在Django 1.9.x之前版本中,当ModelAdmin.save_as设置为True时,允许远程登录的用户可以绕过预期的访问限制,在编辑对象时通过“Save as New”选项创建ModelAdmin对象,并利用“更改”权限。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Django 1.9.x before 1.9.2, when ModelAdmin.save_as is set to True, allows remote authenticated users to bypass intended access restrictions and create ModelAdmin objects via the "Save as New" option when editing objects and leveraging the "change" permission.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Django 安全漏洞
漏洞描述信息
Django是Django软件基金会的一套基于Python语言的开源Web应用框架。该框架包括面向对象的映射器、视图系统、模板系统等。 Django 1.9.2之前1.9.x版本中存在安全漏洞。当ModelAdmin.save_as被设置成‘True’时,远程攻击者可借助编辑对象时的‘Save as New’选项和‘change’权限利用该漏洞绕过既定的访问限制,创建ModelAdmin对象。
CVSS信息
N/A
漏洞类别
授权问题