CSRF атака в Django

Дата публикации:
04.09.2008
Дата изменения:
04.09.2008
Всего просмотров:
2706
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Django 0.x
Уязвимые версии: Django версии до 0.91.3, 0.95.4 и 0.96.3

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение.

Уязвимость существует из-за того, что административное приложение Django не осуществляет проверку для подтверждения подлинности запросов при повторной аутентификации. Удаленный пользователь может удалить или изменить данные, когда неавторизованный пользователь посещает специально сформированный сайт и, затем, авторизуется в приложении.

URL производителя: www.djangoproject.com

Решение: Установите последнюю версию 0.91.3, 0.95.4 или 0.96.3 с сайта производителя.

Ссылки: http://www.djangoproject.com/weblog/2008/sep/02/security/

или введите имя

CAPTCHA