Django HTTP请求跨站请求伪造漏洞

CNVD编号CNVD-2011-6686

CVE编号 CVE-2011-0696	CNNVD编号 CNNVD-201102-215
CICSVD编号 --
危害级别	漏洞类型通用型漏洞
公开时间 2011-02-14	报送时间 2011-02-12
收录时间 2011-02-14	更新时间 2011-02-14
CVSS 2.0 AV:N/AC:M/Au:N/C:P/I:P/A:P
CVSS 3.X --
影响产品 Django Django <=1.2.4

漏洞描述

Django 是Python编程语言驱动的一个开源Web应用程序框架。 Django 1.1.4之前的1.1.x版本及1.2.5之前的1.2.x版本没有正确验证包含X-Requested-With头的HTTP请求。远程攻击者更容易借助利用了"组合的浏览器插件及HTTP重定向"的伪造AJAX请求进行跨站请求伪造攻击。

漏洞解决方案

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接： http://www.djangoproject.com/weblog/2011/feb/08/security/

厂商补丁

Django HTTP请求跨站请求伪造漏洞的补丁

前往查看

验证信息

已验证

参考链接

http://web.nvd.nist.gov/view/vuln/search-results?query=CVE-2011-0696

漏洞附件

检索漏洞