CVE-2015-3982

Опубликовано: 02 июн. 2015

Источник: nvd

CVSS2: 5

EPSS Низкий

Описание

The session.flush function in the cached_db backend in Django 1.8.x before 1.8.2 does not properly flush the session, which allows remote attackers to hijack user sessions via an empty string in the session key.

Комментарий

CWE-384: Session Fixation

Ссылки

http://www.securityfocus.com/bid/74960
https://www.djangoproject.com/weblog/2015/may/20/security-release/
Patch
Vendor Advisory
http://www.securityfocus.com/bid/74960
https://www.djangoproject.com/weblog/2015/may/20/security-release/
Patch
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:djangoproject:django:1.8.0:*:*:*:*:*:*:*

cpe:2.3:a:djangoproject:django:1.8.1:*:*:*:*:*:*:*

EPSS

Процентиль: 55%

0.00322

Низкий

5 Medium

CVSS2

Дефекты

NVD-CWE-Other

Связанные уязвимости

CVE-2015-3982

ubuntu

около 10 лет назад

CVE-2015-3982

redhat

около 10 лет назад

CVE-2015-3982

debian

около 10 лет назад

The session.flush function in the cached_db backend in Django 1.8.x be ...

GHSA-6wgp-fwfm-mxp3

CVSS3: 7.5

github

около 3 лет назад

Django allows user sessions hijacking via an empty string in the session key

EPSS

Процентиль: 55%

0.00322

Низкий

5 Medium

CVSS2

Дефекты

NVD-CWE-Other