漏洞信息
# N/A
## 漏洞概述
Django 版本 1.10.x 低于 1.10.8 和 1.11.x 低于 1.11.5 中,技术500调试页面的模板部分禁用了 HTML 自动转义,这在特定情况下允许跨站脚本攻击(XSS)。
## 影响版本
- Django 1.10.x 低于 1.10.8
- Django 1.11.x 低于 1.11.5
## 细节
在技术500调试页面的模板部分禁用了 HTML 自动转义,导致在特定条件下,攻击者能够注入恶意代码,从而触发跨站脚本攻击(XSS)。
## 影响
大多数生产站点不受此漏洞影响,因为通常不会在生产环境中启用 "DEBUG = True",这使得该页面不可用。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
漏洞描述信息
In Django 1.10.x before 1.10.8 and 1.11.x before 1.11.5, HTML autoescaping was disabled in a portion of the template for the technical 500 debug page. Given the right circumstances, this allowed a cross-site scripting attack. This vulnerability shouldn't affect most production sites since you shouldn't run with "DEBUG = True" (which makes this page accessible) in your production settings.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Django 安全漏洞
漏洞描述信息
Django是Django软件基金会的一套基于Python语言的开源Web应用框架。该框架包括面向对象的映射器、视图系统、模板系统等。 Django 1.10.8之前的版本和1.11.5之前的1.11.x版本中的Technical 500 Template存在安全漏洞,该漏洞源于程序没有正确的过滤用户提交的输入。远程攻击者可利用该漏洞在浏览器中执行任意脚本代码。
CVSS信息
N/A
漏洞类别
跨站脚本