Django 权限许可和访问控制漏洞 CVE-2014-0483 CNNVD-201408-413
3.5
AV
AC
AU
C
I
A
发布:
2014-08-26
修订:
2018-10-30
Django是Django软件基金会的一套基于Python语言的开源Web应用框架。该框架包括面向对象的映射器、视图系统、模板系统等。 Django的后台管理接口 (contrib.admin) 中存在安全漏洞,该漏洞源于程序没有检查模型间的关系是否由字段表示。远程攻击者可借助管理员更改表单页面执行popup操作中的‘to_field parameter’参数,利用该漏洞获取敏感信息。以下版本受到影响:Django 1.4.13及之前版本,1.5.9之前1.5.x版本,1.6.6之前1.6.x版本,release candidate 3之前1.7版本。
漏洞利用/PoC
暂无可用Exp或PoC
受影响的平台与产品
当前有42条受影响产品信息
