Django HTTP请求跨站请求伪造漏洞
CNVD编号CNVD-2011-6686
CVE编号
CVE-2011-0696
| CNNVD编号 |
CICSVD编号 -- |
危害级别 | 漏洞类型
通用型漏洞
|
公开时间
2011-02-14
| 报送时间
2011-02-12
|
收录时间
2011-02-14
| 更新时间
2011-02-14
|
CVSS 2.0
AV:N/AC:M/Au:N/C:P/I:P/A:P
|
CVSS 3.X
--
|
影响产品 |
Django 是Python编程语言驱动的一个开源Web应用程序框架。 Django 1.1.4之前的1.1.x版本及1.2.5之前的1.2.x版本没有正确验证包含X-Requested-With头的HTTP请求。远程攻击者更容易借助利用了"组合的浏览器插件及HTTP重定向"的伪造AJAX请求进行跨站请求伪造攻击。
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接: http://www.djangoproject.com/weblog/2011/feb/08/security/