一、 漏洞 CVE-2019-14232 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
在Django 1.11.x版本在1.11.23之前、2.1.x版本在2.1.11之前、2.2.x版本在2.2.4之前发现了一个问题。如果Django.utils.text.Truncator的chars()和words()方法接受了html=True参数,因为它们在正则表达式中 catastrophic backtracking 漏洞,对某些输入的评估非常缓慢。chars()和words()方法用于实现truncatechars_html和truncatewords_html模板过滤器,因此这些过滤器容易受到攻击。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
An issue was discovered in Django 1.11.x before 1.11.23, 2.1.x before 2.1.11, and 2.2.x before 2.2.4. If django.utils.text.Truncator's chars() and words() methods were passed the html=True argument, they were extremely slow to evaluate certain inputs due to a catastrophic backtracking vulnerability in a regular expression. The chars() and words() methods are used to implement the truncatechars_html and truncatewords_html template filters, which were thus vulnerable.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Django 资源管理错误漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Django是Django基金会的一套基于Python语言的开源Web应用框架。该框架包括面向对象的映射器、视图系统、模板系统等。 Django中存在资源管理错误漏洞,该漏洞源于程序没有正确处理‘Truncator’函数。攻击者可利用该漏洞造成拒绝服务(资源消耗)。以下产品及版本受到影响:Django 1.11.23之前的1.11.x版本,2.1.11之前的2.1.x版本,2.2.4之前的2.2.x版本。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
资源管理错误
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2019-14232 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2019-14232 的情报信息
-
标题: Archive of security issues | Django documentation | Django -- 🔗来源链接
标签:
- https://groups.google.com/forum/#%21topic/django-announce/jIoju2-KLDs
- https://www.djangoproject.com/weblog/2019/aug/01/security-releases/
- https://security.netapp.com/advisory/ntap-20190828-0002/
- https://www.debian.org/security/2019/dsa-4498 vendor-advisory
- https://security.gentoo.org/glsa/202004-17 vendor-advisory
- http://lists.opensuse.org/opensuse-security-announce/2019-08/msg00006.html vendor-advisory
- http://lists.opensuse.org/opensuse-security-announce/2019-08/msg00025.html vendor-advisory
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/STVX7X7IDWAH5SKE6MBMY3TEI6ZODBTK/ vendor-advisory
- https://seclists.org/bugtraq/2019/Aug/15 mailing-list
- http://www.openwall.com/lists/oss-security/2023/10/04/6 mailing-list
- http://www.openwall.com/lists/oss-security/2024/03/04/1 mailing-list
- https://nvd.nist.gov/vuln/detail/CVE-2019-14232