GHSA-h95j-h2rv-qrg4

Опубликовано: 23 июл. 2018

Источник: github

Github: Прошло ревью

CVSS4: 8.7

CVSS3: 7.5

Описание

Django Cross-Site Request Forgery vulnerability

The CSRF protection mechanism in Django through 1.2.7 and 1.3.x through 1.3.1 does not properly handle web-server configurations supporting arbitrary HTTP Host headers, which allows remote attackers to trigger unauthenticated forged requests via vectors involving a DNS CNAME record and a web page containing JavaScript code.

Ссылки

Пакеты

Наименование

Django

pip

Затронутые версииВерсия исправления

<= 1.2.7

Отсутствует

Наименование

Django

pip

Затронутые версииВерсия исправления

>= 1.3, <= 1.3.1

Отсутствует

EPSS

Процентиль: 60%

0.004

Низкий

8.7 High

CVSS4

7.5 High

CVSS3

CVE ID

CVE-2011-4140

Дефекты

CWE-352

Связанные уязвимости

CVE-2011-4140

nvd

больше 13 лет назад

CVE-2011-4140

debian

больше 13 лет назад

The CSRF protection mechanism in Django through 1.2.7 and 1.3.x throug ...

EPSS

Процентиль: 60%

0.004

Низкий

8.7 High

CVSS4

7.5 High

CVSS3

CVE ID

CVE-2011-4140

Дефекты

CWE-352