一、 漏洞 CVE-2024-27351 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
在Django 3.2(版本低于3.2.25), 4.2(版本低于4.2.11)和5.0(版本低于5.0.3)之前,django.utils.text.Truncator.words()方法(html=True参数)以及truncatewords_html模板过滤器可能受到精心构造字符串的潜在正则表达式拒绝服务攻击。注意:此问题的存在是因为对CVE-2019-14232和CVE-2023-43665的不完整修复。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
来源:AIGC 神龙大模型
漏洞类别
未加控制的资源消耗(资源穷尽)
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
In Django 3.2 before 3.2.25, 4.2 before 4.2.11, and 5.0 before 5.0.3, the django.utils.text.Truncator.words() method (with html=True) and the truncatewords_html template filter are subject to a potential regular expression denial-of-service attack via a crafted string. NOTE: this issue exists because of an incomplete fix for CVE-2019-14232 and CVE-2023-43665.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Django 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Django是Django基金会的一套基于Python语言的开源Web应用框架。该框架包括面向对象的映射器、视图系统、模板系统等。 Django 5.0版本,4.2版本,3.2版本存在安全漏洞,该漏洞源于Truncator.words函数和truncatewords_html过滤器存在拒绝服务(DOS)漏洞。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-27351 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2024-27351 的情报信息
-
- https://docs.djangoproject.com/en/5.0/releases/security/
- https://www.djangoproject.com/weblog/2024/mar/04/security-releases/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/D2JIRXEDP4ZET5KFMAPPYSK663Q52NEX/ vendor-advisory
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/SN2PLJGYSAAG5KUVIUFJYKD3BLQ4OSN6/ vendor-advisory
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/ZQJOMNRMVPCN5WMIZ7YSX5LQ7IR2NY4D/ vendor-advisory
- http://www.openwall.com/lists/oss-security/2024/03/04/1 mailing-list
- https://nvd.nist.gov/vuln/detail/CVE-2024-27351