一、 漏洞 CVE-2019-3498 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
在Django 1.11.x 之前版本(1.11.18 前)的 2.0.x 和 2.1.x 版本中,存在一个下延组件使用的输出特殊元素的不当净整问题,在 django.views.defaults.page_not_found() 中存在。如果用户未能正确识别创建的 URL 包含恶意内容,则可能导致内容篡改(在 404 错误页面上)。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
In Django 1.11.x before 1.11.18, 2.0.x before 2.0.10, and 2.1.x before 2.1.5, an Improper Neutralization of Special Elements in Output Used by a Downstream Component issue exists in django.views.defaults.page_not_found(), leading to content spoofing (in a 404 error page) if a user fails to recognize that a crafted URL has malicious content.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Django 输入验证错误漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Django是Django基金会的一套基于Python语言的开源Web应用框架。该框架包括面向对象的映射器、视图系统、模板系统等。 Django中的django.views.defaults.page_not_found()存在安全漏洞。攻击者可借助恶意制作的URL利用该漏洞在默认页面上显示虚假信息。以下版本受到影响:Django 1.11.18之前的1.11.x版本,2.0.10之前的2.0.x版本,2.1.5之前的2.1.x版本。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
输入验证错误
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2019-3498 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2019-3498 的情报信息
- https://groups.google.com/forum/#%21topic/django-announce/VYU7xQQTEPQ x_refsource_MISC
-
标题: Archive of security issues | Django documentation | Django -- 🔗来源链接
标签: x_refsource_MISC
- https://www.djangoproject.com/weblog/2019/jan/04/security-releases/ x_refsource_MISC
- http://www.securityfocus.com/bid/106453 vdb-entry x_refsource_BID
- https://www.debian.org/security/2019/dsa-4363 vendor-advisory x_refsource_DEBIAN
- https://usn.ubuntu.com/3851-1/ vendor-advisory x_refsource_UBUNTU
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/HVXDOVCXLD74SHR2BENGCE2OOYYYWJHZ/ vendor-advisory x_refsource_FEDORA
- https://lists.debian.org/debian-lts-announce/2019/01/msg00005.html mailing-list x_refsource_MLIST
- https://nvd.nist.gov/vuln/detail/CVE-2019-3498