Django HTTP请求跨站请求伪造漏洞

CNNVD编号CNNVD-201102-215

CVE编号 CVE-2011-0696	CNVD编号 CNVD-2011-6686
CICSVD编号 --
危害级别	漏洞类型跨站请求伪造
厂商 --	威胁类型远程
发布时间 2011-02-14	更新时间 2011-02-16
CVSS 2.0 AV:N/AC:M/Au:N/C:P/I:P/A:P
CVSS 3.X --
漏洞来源 Django

漏洞简介

Django 是Python编程语言驱动的一个开源Web应用程序框架。 Django 1.1.4之前的1.1.x版本及1.2.5之前的1.2.x版本没有正确验证包含X-Requested-With头的HTTP请求。远程攻击者更容易借助利用了"组合的浏览器插件及HTTP重定向"的伪造AJAX请求进行跨站请求伪造攻击。

漏洞公告

暂无

受影响实体

序号	受影响实体
1	CPE:/a:djangoproject:django:1.2.1:::
2	CPE:/a:djangoproject:django:1.1.3:::
3	CPE:/a:djangoproject:django:1.1.0:::
4	CPE:/a:djangoproject:django:1.1.2:::
5	CPE:/a:djangoproject:django:1.1:::

补丁

Django-1.2.5

前往查看

Django-1.1.4

前往查看

参考网址

序号	链接	原站
1	https://bugzilla.redhat.com/show_bug.cgi?id=676357	bugzilla.redhat.com
2	http://www.djangoproject.com/weblog/2011/feb/08/security/	www.djangoproject.com
3	http://openwall.com/lists/oss-security/2011/02/09/6	MLIST

检索漏洞