GHSA-rf4j-j272-fj86

Опубликовано: 03 окт. 2018

Источник: github

Github: Прошло ревью

CVSS4: 8.7

CVSS3: 7.5

Описание

Django vulnerable to information leakage in AuthenticationForm

django.contrib.auth.forms.AuthenticationForm in Django 2.0 before 2.0.2, and 1.11.8 and 1.11.9, allows remote attackers to obtain potentially sensitive information by leveraging data exposure from the confirm_login_allowed() method, as demonstrated by discovering whether a user account is inactive.

Ссылки

Пакеты

Наименование

Django

pip

Затронутые версииВерсия исправления

>= 2.0a1, < 2.0.2

2.0.2

Наименование

Django

pip

Затронутые версииВерсия исправления

>= 1.11.8, < 1.11.10

1.11.10

EPSS

Процентиль: 80%

0.01547

Низкий

8.7 High

CVSS4

7.5 High

CVSS3

CVE ID

CVE-2018-6188

Дефекты

CWE-200

Связанные уязвимости

CVE-2018-6188

CVSS3: 7.5

ubuntu

больше 7 лет назад

django.contrib.auth.forms.AuthenticationForm in Django 2.0 before 2.0.2, and 1.11.8 and 1.11.9, allows remote attackers to obtain potentially sensitive information by leveraging data exposure from the confirm_login_allowed() method, as demonstrated by discovering whether a user account is inactive.

CVE-2018-6188

CVSS3: 5.3

redhat

больше 7 лет назад

CVE-2018-6188

CVSS3: 7.5

nvd

больше 7 лет назад

CVE-2018-6188

CVSS3: 7.5

debian

больше 7 лет назад

django.contrib.auth.forms.AuthenticationForm in Django 2.0 before 2.0. ...

BDU:2024-09053

CVSS3: 7.5

fstec

почти 7 лет назад

Уязвимость метода confirm_login_allowed() программной платформы для веб-приложений Django, связанная с раскрытием информации, позволяющая нарушителю получить доступ к конфиденциальным данным

EPSS

Процентиль: 80%

0.01547

Низкий

8.7 High

CVSS4

7.5 High

CVSS3

CVE ID

CVE-2018-6188

Дефекты

CWE-200