一、 漏洞 CVE-2017-12794 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
在Django 1.10.x 之前版本(1.10.8 和 1.11.5 之前)以及1.11.x 版本之前,在技术 500 调试页面的部分模板中,HTML 自动编码被禁用了。在适当的条件下,这允许了跨站脚本攻击。由于您的生产设置不应该运行“DEBUG = True”(这使得此页面可访问),因此这个漏洞对大多数生产环境不应该产生影响。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
In Django 1.10.x before 1.10.8 and 1.11.x before 1.11.5, HTML autoescaping was disabled in a portion of the template for the technical 500 debug page. Given the right circumstances, this allowed a cross-site scripting attack. This vulnerability shouldn't affect most production sites since you shouldn't run with "DEBUG = True" (which makes this page accessible) in your production settings.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Django 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Django是Django软件基金会的一套基于Python语言的开源Web应用框架。该框架包括面向对象的映射器、视图系统、模板系统等。 Django 1.10.8之前的版本和1.11.5之前的1.11.x版本中的Technical 500 Template存在安全漏洞,该漏洞源于程序没有正确的过滤用户提交的输入。远程攻击者可利用该漏洞在浏览器中执行任意脚本代码。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站脚本
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2017-12794 的公开POC
# POC 描述 源链接 神龙链接
1 Django 1.10.x before 1.10.8 and 1.11.x before 1.11.5 has HTML autoescaping disabled in a portion of the template for the technical 500 debug page. We detected that right circumstances (DEBUG=True) are present to allow a cross-site scripting attack. https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2017/CVE-2017-12794.yaml POC详情
2 None https://github.com/Threekiii/Awesome-POC/blob/master/%E5%BC%80%E5%8F%91%E6%A1%86%E6%9E%B6%E6%BC%8F%E6%B4%9E/Django%20debug%20page%20XSS%E6%BC%8F%E6%B4%9E%20CVE-2017-12794.md POC详情
3 https://github.com/vulhub/vulhub/blob/master/django/CVE-2017-12794/README.md POC详情
三、漏洞 CVE-2017-12794 的情报信息