セキュリティ上の問題のアーカイブ

Django の開発チームは、Django のセキュリティポリシー にしたがって、セキュリティに関わる問題を、責任を持って積極的に公表しています。

この活動の一部として、修正・公開した問題の履歴リストをメンテナンスしています。以下のリストには、各問題に対して、日付、短い説明、もし存在すれば CVE identifier 、影響を受けるバージョン、完全な情報開示ページへのリンク、適切なパッチへのリンクが記載されています。

これらの情報に関する重要な注意書き

  • 影響を受けるバージョンのリストには、情報公開時点での stable、security-supported リリースのバージョンのみが記載されています。つまり、(セキュリティサポートが切れた) 古いバージョンや pre リリース (alpha/beta/RC) 状態のバージョンは、公開時点で影響を受ける場合にも、リストに書かれていない可能性があるということです。
  • The Django project has on occasion issued security advisories, pointing out potential security problems which can arise from improper configuration or from other issues outside of Django itself. Some of these advisories have received CVEs; when that is the case, they are listed here, but as they have no accompanying patches or releases, only the description, disclosure and CVE will be listed.

Django のセキュリティプロセスで解決される前の問題

いくつかのセキュリティ問題については、Django が正式にセキュリティ問題の処理プロセスを確立する以前に修正されました。そのような修正に対しては、新しいリリースが出されたときに修正された CVE が記載されていないことがあります。

2006年8月16日 - CVE-2007-0404

翻訳フレームワークにおけるファイル名の検証問題。 詳細な説明

影響を受けるバージョン

January 21, 2007 - CVE-2007-0405

Apparent "caching" of authenticated user. Full description

影響を受けるバージョン

Issues under Django's security process

All other security issues have been handled under versions of Django's security process. These are listed below.

October 26, 2007 - CVE-2007-5712

Denial-of-service via arbitrarily-large Accept-Language header. Full description

影響を受けるバージョン

May 14, 2008 - CVE-2008-2302

XSS via admin login redirect. Full description

影響を受けるバージョン

September 2, 2008 - CVE-2008-3909

CSRF via preservation of POST data during admin login. Full description

影響を受けるバージョン

July 28, 2009 - CVE-2009-2659

Directory-traversal in development server media handler. Full description

影響を受けるバージョン

October 9, 2009 - CVE-2009-3965

Denial-of-service via pathological regular expression performance. Full description

影響を受けるバージョン

September 8, 2010 - CVE-2010-3082

XSS via trusting unsafe cookie value. Full description

影響を受けるバージョン

December 22, 2010 - CVE-2010-4534

Information leakage in administrative interface. Full description

影響を受けるバージョン

December 22, 2010 - CVE-2010-4535

Denial-of-service in password-reset mechanism. Full description

影響を受けるバージョン

February 8, 2011 - CVE-2011-0696

CSRF via forged HTTP headers. Full description

影響を受けるバージョン

February 8, 2011 - CVE-2011-0697

XSS via unsanitized names of uploaded files. Full description

影響を受けるバージョン

February 8, 2011 - CVE-2011-0698

Directory-traversal on Windows via incorrect path-separator handling. Full description

影響を受けるバージョン

September 9, 2011 - CVE-2011-4136

Session manipulation when using memory-cache-backed session. Full description

影響を受けるバージョン

September 9, 2011 - CVE-2011-4137

Denial-of-service via URLField.verify_exists. Full description

影響を受けるバージョン

September 9, 2011 - CVE-2011-4138

Information leakage/arbitrary request issuance via URLField.verify_exists. Full description

影響を受けるバージョン

September 9, 2011 - CVE-2011-4139

Host header cache poisoning. Full description

影響を受けるバージョン

September 9, 2011 - CVE-2011-4140

Potential CSRF via Host header. Full description

影響を受けるバージョン

This notification was an advisory only, so no patches were issued.

  • Django 1.2
  • Django 1.3

July 30, 2012 - CVE-2012-3442

XSS via failure to validate redirect scheme. Full description

影響を受けるバージョン

July 30, 2012 - CVE-2012-3443

Denial-of-service via compressed image files. Full description

影響を受けるバージョン

July 30, 2012 - CVE-2012-3444

Denial-of-service via large image files. Full description

影響を受けるバージョン

October 17, 2012 - CVE-2012-4520

Host header poisoning. Full description

影響を受けるバージョン

December 10, 2012 - No CVE 1

Additional hardening of Host header handling. Full description

影響を受けるバージョン

December 10, 2012 - No CVE 2

Additional hardening of redirect validation. Full description

影響を受けるバージョン

February 19, 2013 - No CVE

Additional hardening of Host header handling. Full description

影響を受けるバージョン

February 19, 2013 - CVE-2013-1664 / CVE-2013-1665

Entity-based attacks against Python XML libraries. Full description

影響を受けるバージョン

February 19, 2013 - CVE-2013-0305

Information leakage via admin history log. Full description

影響を受けるバージョン

February 19, 2013 - CVE-2013-0306

Denial-of-service via formset max_num bypass. Full description

影響を受けるバージョン

August 13, 2013 - CVE-2013-4249

XSS via admin trusting URLField values. Full description

影響を受けるバージョン

August 13, 2013 - CVE-2013-6044

Possible XSS via unvalidated URL redirect schemes. Full description

影響を受けるバージョン

September 10, 2013 - CVE-2013-4315

Directory-traversal via ssi template tag. Full description

影響を受けるバージョン

September 14, 2013 - CVE-2013-1443

Denial-of-service via large passwords. Full description

影響を受けるバージョン

April 21, 2014 - CVE-2014-0472

Unexpected code execution using reverse(). Full description

影響を受けるバージョン

April 21, 2014 - CVE-2014-0473

Caching of anonymous pages could reveal CSRF token. Full description

影響を受けるバージョン

April 21, 2014 - CVE-2014-0474

MySQL typecasting causes unexpected query results. Full description

影響を受けるバージョン

May 18, 2014 - CVE-2014-1418

Caches may be allowed to store and serve private data. Full description

影響を受けるバージョン

May 18, 2014 - CVE-2014-3730

Malformed URLs from user input incorrectly validated. Full description

影響を受けるバージョン

August 20, 2014 - CVE-2014-0480

reverse() can generate URLs pointing to other hosts. Full description

影響を受けるバージョン

August 20, 2014 - CVE-2014-0481

File upload denial of service. Full description

影響を受けるバージョン

August 20, 2014 - CVE-2014-0482

RemoteUserMiddleware session hijacking. Full description

影響を受けるバージョン

August 20, 2014 - CVE-2014-0483

Data leakage via querystring manipulation in admin. Full description

影響を受けるバージョン

January 13, 2015 - CVE-2015-0219

WSGI header spoofing via underscore/dash conflation. Full description

影響を受けるバージョン

January 13, 2015 - CVE-2015-0220

Mitigated possible XSS attack via user-supplied redirect URLs. Full description

影響を受けるバージョン

January 13, 2015 - CVE-2015-0221

Denial-of-service attack against django.views.static.serve(). Full description

影響を受けるバージョン

January 13, 2015 - CVE-2015-0222

Database denial-of-service with ModelMultipleChoiceField. Full description

影響を受けるバージョン

March 9, 2015 - CVE-2015-2241

XSS attack via properties in ModelAdmin.readonly_fields. Full description

影響を受けるバージョン

March 18, 2015 - CVE-2015-2316

Denial-of-service possibility with strip_tags(). Full description

影響を受けるバージョン

March 18, 2015 - CVE-2015-2317

Mitigated possible XSS attack via user-supplied redirect URLs. Full description

影響を受けるバージョン

May 20, 2015 - CVE-2015-3982

Fixed session flushing in the cached_db backend. Full description

影響を受けるバージョン

July 8, 2015 - CVE-2015-5143

Denial-of-service possibility by filling session store. Full description

影響を受けるバージョン

July 8, 2015 - CVE-2015-5144

Header injection possibility since validators accept newlines in input. Full description

影響を受けるバージョン

July 8, 2015 - CVE-2015-5145

Denial-of-service possibility in URL validation. Full description

影響を受けるバージョン

August 18, 2015 - CVE-2015-5963 / CVE-2015-5964

Denial-of-service possibility in logout() view by filling session store. Full description

影響を受けるバージョン

November 24, 2015 - CVE-2015-8213

Settings leak possibility in date template filter. Full description

影響を受けるバージョン

February 1, 2016 - CVE-2016-2048

User with "change" but not "add" permission can create objects for ModelAdmin’s with save_as=True. Full description

影響を受けるバージョン

March 1, 2016 - CVE-2016-2512

Malicious redirect and possible XSS attack via user-supplied redirect URLs containing basic auth. Full description

影響を受けるバージョン

March 1, 2016 - CVE-2016-2513

User enumeration through timing difference on password hasher work factor upgrade. Full description

影響を受けるバージョン

July 18, 2016 - CVE-2016-6186

XSS in admin's add/change related popup. Full description

影響を受けるバージョン

September 26, 2016 - CVE-2016-7401

CSRF protection bypass on a site with Google Analytics. Full description

影響を受けるバージョン

November 1, 2016 - CVE-2016-9013

User with hardcoded password created when running tests on Oracle. Full description

影響を受けるバージョン

November 1, 2016 - CVE-2016-9014

DNS rebinding vulnerability when DEBUG=True. Full description

影響を受けるバージョン

April 4, 2017 - CVE-2017-7233

Open redirect and possible XSS attack via user-supplied numeric redirect URLs. Full description

影響を受けるバージョン

April 4, 2017 - CVE-2017-7234

Open redirect vulnerability in django.views.static.serve(). Full description

影響を受けるバージョン

September 5, 2017 - CVE-2017-12794

Possible XSS in traceback section of technical 500 debug page. Full description

影響を受けるバージョン

February 1, 2018 - CVE-2018-6188

Information leakage in AuthenticationForm. Full description

影響を受けるバージョン

March 6, 2018 - CVE-2018-7536

Denial-of-service possibility in urlize and urlizetrunc template filters. Full description

影響を受けるバージョン

March 6, 2018 - CVE-2018-7537

Denial-of-service possibility in truncatechars_html and truncatewords_html template filters. Full description

影響を受けるバージョン