一些安全问题在Django具有规范化的安全处理流程之前被修复。
对于这些问题,可能不会发布新的发行版,也不会分配CVE。CVE-2007-0404: 翻译框架中的文件名验证问题。
Full descriptionCVE-2008-2302: 通过admin登录重定向的XSS。
CVE-2008-3909: 通过在admin登录状态下保存POST数据的CSRF。Full description
Full descriptionCVE-2010-4534: 管理界面上的信息泄露。
CVE-2011-0696: 通过伪造HTTP协议头的XSS。Full description
Full descriptionCVE-2011-0698: Windows上通过不正确的目录分隔符处理的目录遍历。
CVE-2011-4138: 通过URLField.verify_exists的信息泄露/任何请求发布。Full description
CVE-2012-3442: 通过验证重定向模式失败的XSS。Full description
Full description对Host协议头处理的额外加固。
Full descriptionCVE-2013-1664 and CVE-2013-1665: 对Python XML库的基于实体的攻击。
Full description(CVE not yet issued): 通过admin受信任的URLField值的XSS。
CVE-2013-4315 通过ssi模板标签的目录遍历。
Full descriptionCVE-2014-0473: 匿名页面的缓存可能会泄露CSRF标识。
Full descriptionCVE-2014-3730: 来源于用户输入的错误格式URL的不正确验证。
Full descriptionCVE-2014-0482: RemoteUserMiddleware会话劫持。
Full descriptionCVE-2015-0220: 通过用户提供的重定向URL的可能的XSS攻击。
Full description Enter search terms or a module, class or function name.
January 21, 2007 - CVE-2007-0405October 26, 2007 - CVE-2007-5712
September 8, 2010 - CVE-2010-3082December 22, 2010 - CVE-2010-4534
September 9, 2011 - CVE-2011-4136September 9, 2011 - CVE-2011-4137
July 30, 2012 - CVE-2012-3443July 30, 2012 - CVE-2012-3444
December 10, 2012 - No CVE 1
February 19, 2013 - CVE-2013-0305February 19, 2013 - CVE-2013-0306
April 21, 2014 - CVE-2014-0472April 21, 2014 - CVE-2014-0473
August 20, 2014 - CVE-2014-0481August 20, 2014 - CVE-2014-0482
January 13, 2015 - CVE-2015-0222Table Of Contents
Last update:Versions affected
Versions affectedVersions affected
Versions affectedVersions affected
Versions affectedVersions affected
Versions affectedVersions affected
Versions affectedVersions affected
Versions affectedVersions affected
Versions affectedVersions affected
这意味着,老的版本(安全支持已经过期),以及预发行版本(alpha/beta/RC)在漏洞公开的时期也可能会受影响,但是没有列出。Django项目偶尔会发布安全公告,指出潜在的安全问题,可能会由不合理的配置或其他Django本身以外的问题产生。
2015年5月13日