CVE-2024-45231

Опубликовано: 08 окт. 2024

Источник: nvd

CVSS3: 5.3

EPSS Низкий

Описание

An issue was discovered in Django v5.1.1, v5.0.9, and v4.2.16. The django.contrib.auth.forms.PasswordResetForm class, when used in a view implementing password reset flows, allows remote attackers to enumerate user e-mail addresses by sending password reset requests and observing the outcome (only when e-mail sending is consistently failing).

Ссылки

https://docs.djangoproject.com/en/dev/releases/security/
Vendor Advisory
https://groups.google.com/forum/#%21forum/django-announce
Permissions Required
https://www.djangoproject.com/weblog/2024/sep/03/security-releases/
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:djangoproject:django:*:*:*:*:*:*:*:*

Версия от 4.2.0 (включая) до 4.2.16 (исключая)

cpe:2.3:a:djangoproject:django:*:*:*:*:*:*:*:*

Версия от 5.0 (включая) до 5.0.9 (исключая)

cpe:2.3:a:djangoproject:django:5.1:*:*:*:*:*:*:*

EPSS

Процентиль: 14%

0.00046

Низкий

5.3 Medium

CVSS3

Дефекты

NVD-CWE-noinfo

CWE-203

Связанные уязвимости

CVE-2024-45231

CVSS3: 5.3

ubuntu

8 месяцев назад

CVE-2024-45231

CVSS3: 3.7

redhat

10 месяцев назад

CVE-2024-45231

CVSS3: 5.3

debian

8 месяцев назад

An issue was discovered in Django v5.1.1, v5.0.9, and v4.2.16. The dja ...

GHSA-rrqc-c2jx-6jgv

CVSS3: 3.7

github

8 месяцев назад

Django allows enumeration of user e-mail addresses

SUSE-SU-2024:3161-1

suse-cvrf

10 месяцев назад

Security update for python-Django

EPSS

Процентиль: 14%

0.00046

Низкий

5.3 Medium

CVSS3

Дефекты

NVD-CWE-noinfo

CWE-203