一、 漏洞 CVE-2018-14574 基础信息
漏洞信息
# N/A

## 概述
Django 中 `django.middleware.common.CommonMiddleware` 存在一个开放重定向漏洞。

## 影响版本
- Django 1.11.x 低于 1.11.15
- Django 2.0.x 低于 2.0.8

## 细节
在受影响的 Django 版本中,`django.middleware.common.CommonMiddleware` 组件中的未充分验证的重定向可能导致开放重定向漏洞。

## 影响
此漏洞允许攻击者构造特定的请求来诱使用户点击恶意链接,从而导致用户被重定向到攻击者控制的网站。这可能用于实施钓鱼攻击或其他恶意活动。
备注
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
django.middleware.common.CommonMiddleware in Django 1.11.x before 1.11.15 and 2.0.x before 2.0.8 has an Open Redirect.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Django 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Django是Django软件基金会的一套基于Python语言的开源Web应用框架。该框架包括面向对象的映射器、视图系统、模板系统等。 Django 1.11.15之前的1.11.x版本和2.0.8之前的2.0.x版本中的django.middleware.common.CommonMiddleware存在开放重定向漏洞。攻击者可利用该漏洞将用户重定向到任意网站。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
输入验证错误
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2018-14574 的公开POC
# POC 描述 源链接 神龙链接
1 Django 1.11.x before 1.11.15 and 2.0.x before 2.0.8 contains an open redirect vulnerability. If django.middleware.common.CommonMiddleware and APPEND_SLASH settings are selected, and if the project has a URL pattern that accepts any path ending in a slash, an attacker can redirect a user to a malicious site and possibly obtain sensitive information, modify data, and/or execute unauthorized operations. https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2018/CVE-2018-14574.yaml POC详情
2 None https://github.com/Threekiii/Awesome-POC/blob/master/%E5%BC%80%E5%8F%91%E6%A1%86%E6%9E%B6%E6%BC%8F%E6%B4%9E/Django%20%202.0.8%20%E4%BB%BB%E6%84%8FURL%E8%B7%B3%E8%BD%AC%E6%BC%8F%E6%B4%9E%20CVE-2018-14574.md POC详情
3 https://github.com/vulhub/vulhub/blob/master/django/CVE-2018-14574/README.md POC详情
三、漏洞 CVE-2018-14574 的情报信息