Python-django20
Уязвимости
9
Эксплуатируемые
0
Макс. CVSS
9.4
Макс. EPSS
0.49246
Распределение по критичности
Критический
1
Высокий
3
Средний
5
Низкий
0
Также сопоставлено как (исходные строки): python-django20
Топ уязвимостей
CVE-2022-28346В Django 2.2 до 2.2.28, 3.2 до 3.2.13 и 4.0 до 4.0.4 обнаружена проблема. Методы QuerySet.annotate(), aggregate() и extra() подвержены SQL-инъекциям в псевдонимах столбцов через специальный словарь (с расширением словаря) в качестве переданных **kwargs.
CVE-2022-23833Проблема была обнаружена в MultiPartParser в Django 2.2 до 2.2.27, 3.2 до 3.2.12 и 4.0 до 4.0.2. Передача определенных входных данных в многокомпонентные формы может привести к бесконечному циклу при анализе файлов.
CVE-2021-33571В Django 2.2 до версии 2.2.24, 3.x до версии 3.1.12 и 3.2 до версии 3.2.4 URLValidator, validate_ipv4_address и validate_ipv46_address не запрещают начальные нулевые символы в восьмеричных литералах. Это может позволить обойти контроль доступа, основанный на IP-адресах. (validate_ipv4_address и validate_ipv46_address не подвержены влиянию в Python 3.9.5+.).
CVE-2021-31542В Django 2.2 до 2.2.21, 3.1 до 3.1.9 и 3.2 до 3.2.1 MultiPartParser, UploadedFile и FieldFile допускали обход каталогов через загруженные файлы с соответствующим образом созданными именами файлов.
CVE-2022-22818Тег шаблона {% debug %} в Django 2.2 до 2.2.27, 3.2 до 3.2.12 и 4.0 до 4.0.2 неправильно кодирует текущий контекст. Это может привести к XSS.
CVE-2020-13254Обнаружена проблема в Django 2.2 до 2.2.13 и 3.0 до 3.0.7. В случаях, когда серверная часть memcached не выполняет проверку ключей, передача неправильно сформированных ключей кэша может привести к коллизии ключей и потенциальной утечке данных.
CVE-2021-3281В Django 2.2 до 2.2.18, 3.0 до 3.0.12 и 3.1 до 3.1.6 метод django.utils.archive.extract (используемый "startapp --template" и "startproject --template") допускает обход каталогов через архив с абсолютными путями или относительными путями с точечными сегментами.
CVE-2021-28658В Django 2.2 до 2.2.20, 3.0 до 3.0.14 и 3.1 до 3.1.8 MultiPartParser допускал обход каталогов через загруженные файлы с правильно составленными именами файлов. Встроенные обработчики загрузки не подвержены этой уязвимости.
CVE-2021-33203Django до 2.2.24, 3.x до 3.1.12 и 3.2.x до 3.2.4 имеет потенциальный обход каталогов через django.contrib.admindocs. Сотрудники могли использовать представление TemplateDetailView для проверки существования произвольных файлов. Кроме того, если (и только если) шаблоны admindocs по умолчанию были настроены разработчиками приложений для отображения также содержимого файлов, то было бы раскрыто не только существование, но и содержимое файлов. Другими словами, происходит обход каталогов за пределами корневых каталогов шаблонов.