Arkiv över säkerhetsfrågor¶
Djangos utvecklingsteam är starkt engagerade i ansvarsfull rapportering och avslöjande av säkerhetsrelaterade frågor, enligt vad som beskrivs i Djangos säkerhetspolicy.
Som en del av detta åtagande upprätthåller vi följande historiska lista över problem som har åtgärdats och offentliggjorts. För varje problem innehåller listan nedan datum, en kort beskrivning, CVE-identifieraren om tillämpligt, en lista över berörda versioner, en länk till den fullständiga informationen och länkar till lämpliga korrigeringar.
Några viktiga förbehåll gäller för denna information:
Listor över berörda versioner innehåller endast de versioner av Django som hade stabila, säkerhetsstödda utgåvor vid tidpunkten för avslöjandet. Detta innebär att äldre versioner (vars säkerhetsstöd hade löpt ut) och versioner som var i förversion (alfa/beta/RC) vid tidpunkten för avslöjandet kan ha påverkats, men är inte listade.
Djangoprojektet har ibland utfärdat säkerhetsmeddelanden som pekar på potentiella säkerhetsproblem som kan uppstå på grund av felaktig konfiguration eller andra problem utanför Django självt. Vissa av dessa råd har fått CVE:er; när så är fallet listas de här, men eftersom de inte har några medföljande korrigeringar eller utgåvor kommer endast beskrivningen, avslöjandet och CVE att listas.
Problem under Djangos säkerhetsprocess¶
Alla säkerhetsfrågor har hanterats under versioner av Djangos säkerhetsprocess. Dessa är listade nedan.
4 juni 2025 - CVE 2025-48432¶
Potentiell logginjektion via oavkortad sökväg. Fullständig beskrivning
Det fanns en ytterligare härdning med nya patchversioner som publicerades den 10 juni 2025. fullständig beskrivning <https://www.djangoproject.com/weblog/2025/jun/10/bugfix-releases/>`__
7 maj 2025 - CVE 2025-32873¶
Möjligheten till överbelastningsattack i strip_tags()
. Fullständig beskrivning
2 april 2025 - CVE 2025-27556`¶
Potentiell sårbarhet för överbelastningsattacker i LoginView
, LogoutView
och set_language()
i Windows. Fullständig beskrivning
6 mars 2025 - CVE 2025-26699`¶
Potentiell förnekande av tjänst i django.utils.text.wrap()
. Fullständig beskrivning
14 januari 2025 - CVE 2024-56374¶
Potentiell sårbarhet för överbelastningsattack i IPv6-validering. fullständig beskrivning <https://www.djangoproject.com/weblog/2025/jan/14/security-releases/>`__
4 december 2024 - CVE 2024-53907¶
Potentiellt övergrepp i tjänsten i django.utils.html.strip_tags()
. Fullständig beskrivning
4 december 2024 - CVE 2024-53908¶
Potentiell SQL-injektion i HasKey(lhs, rhs)
på Oracle. fullständig beskrivning <https://www.djangoproject.com/weblog/2024/dec/04/security-releases/>`__
Den 3 september 2024 - CVE 2024-45231¶
Uppräkning av potentiella användares e-postadresser via svarsstatus vid återställning av lösenord. fullständig beskrivning <https://www.djangoproject.com/weblog/2024/sep/03/security-releases/>`__
3 september 2024 - CVE 2024-45230`¶
Potentiell sårbarhet för överbelastningsattack i django.utils.html.urlize()
. fullständig beskrivning <https://www.djangoproject.com/weblog/2024/sep/03/security-releases/>`__
6 augusti 2024 - CVE 2024-42005`¶
Potentiell SQL-injektion i QuerySet.values()
och values_list()
. fullständig beskrivning <https://www.djangoproject.com/weblog/2024/aug/06/security-releases/>`__
6 augusti 2024 - CVE 2024-41991¶
Potentiell sårbarhet för övergrepp i tjänsten i django.utils.html.urlize()
och AdminURLFieldWidget
. fullständig beskrivning <https://www.djangoproject.com/weblog/2024/aug/06/security-releases/>`__
6 augusti 2024 - CVE 2024-41990`¶
Potentiell sårbarhet för överbelastningsattack i django.utils.html.urlize()
. fullständig beskrivning <https://www.djangoproject.com/weblog/2024/aug/06/security-releases/>`__
6 augusti 2024 - CVE 2024-41989¶
Potentiell minnesutmattning i django.utils.numberformat.floatformat()
. Fullständig beskrivning
9 juli 2024 - CVE 2024-39614`¶
Potentiell förnekande av tjänst i django.utils.translation.get_supported_language_variant()
. Fullständig beskrivning
9 juli 2024 - CVE 2024-39330`¶
Potentiell katalogövergång i django.core.files.storage.Storage.save()
. Fullständig beskrivning
9 juli 2024 - CVE 2024-39329`¶
Uppräkning av användarnamn med hjälp av tidsskillnad för användare med oanvändbara lösenord. fullständig beskrivning <https://www.djangoproject.com/weblog/2024/jul/09/security-releases/>`__
9 juli 2024 - CVE 2024-38875`¶
Potentiell förnekande av tjänst i django.utils.html.urlize()
. Fullständig beskrivning
4 mars 2024 - CVE 2024-27351¶
Potentiell förnekande av tjänst genom reguljära uttryck i django.utils.text.Truncator.words()
. Fullständig beskrivning
6 februari 2024 - CVE 2024-24680`¶
Potentiellt övergrepp i intcomma
mallfilter. Fullständig beskrivning
1 november 2023 - CVE 2023-46695`¶
Potentiell sårbarhet för förnekande av tjänst i UsernameField
på Windows. fullständig beskrivning <https://www.djangoproject.com/weblog/2023/nov/01/security-releases/>`__
4 oktober 2023 - CVE 2023-43665`¶
Denial-of-service-möjlighet i django.utils.text.Truncator
. Fullständig beskrivning
4 september 2023 - CVE 2023-41164`¶
Potentiell sårbarhet för förnekande av tjänst i django.utils.encoding.uri_to_iri()
. Fullständig beskrivning
3 juli 2023 - CVE 2023-36053`¶
Potentiell sårbarhet för förnekande av tjänst genom reguljära uttryck i EmailValidator
/URLValidator`. fullständig beskrivning <https://www.djangoproject.com/weblog/2023/jul/03/security-releases/>`__
3 maj 2023 - CVE 2023-31047¶
Potentiell förbikoppling av validering när flera filer laddas upp med ett formulärfält. Fullständig beskrivning
14 februari 2023 - CVE 2023-24580`¶
Potentiell sårbarhet för överbelastningsskador i filuppladdningar. fullständig beskrivning <https://www.djangoproject.com/weblog/2023/feb/14/security-releases/>`__
1 februari 2023 - CVE 2023-23969`¶
Potentiell överbelastningsattack via Accept-Language
-rubriker. Fullständig beskrivning
4 oktober 2022 - CVE 2022-41323¶
Potentiell sårbarhet för överbelastningsattacker i internationaliserade webbadresser. fullständig beskrivning <https://www.djangoproject.com/weblog/2022/oct/04/security-releases/>`__
3 augusti 2022 - CVE 2022-36359¶
Potentiell sårbarhet vid nedladdning av reflekterade filer i FileResponse. fullständig beskrivning <https://www.djangoproject.com/weblog/2022/aug/03/security-releases/>`__
4 juli 2022 - CVE 2022-34265`¶
Potentiell SQL-injektion via argumenten Trunc(kind)
och Extract(lookup_name)
. fullständig beskrivning <https://www.djangoproject.com/weblog/2022/jul/04/security-releases/>`__
11 april 2022 - CVE 2022-28346¶
Potentiell SQL-injektion i QuerySet.annotate()
, aggregate()
och extra()
. fullständig beskrivning <https://www.djangoproject.com/weblog/2022/apr/11/security-releases/>`__
11 april 2022 - CVE 2022-28347¶
Potentiell SQL-injektion via QuerySet.explain(**options)
på PostgreSQL. Fullständig beskrivning
1 februari 2022 - CVE 2022-22818`¶
Möjlig XSS via {% debug %}
malltagg. Fullständig beskrivning
Versioner som påverkas¶
1 februari 2022 - CVE 2022-23833`¶
Denial-of-service-möjlighet i filuppladdningar. fullständig beskrivning <https://www.djangoproject.com/weblog/2022/feb/01/security-releases/>`__
Versioner som påverkas¶
4 januari 2022 - CVE 2021-45452`¶
Potentiell katalogtraversering via Storage.save()
. fullständig beskrivning <https://www.djangoproject.com/weblog/2022/jan/04/security-releases/>`__
Versioner som påverkas¶
4 januari 2022 - CVE 2021-45116¶
Potentiellt informationsläckage i mallfiltret dictsort
. Fullständig beskrivning
Versioner som påverkas¶
4 januari 2022 - CVE 2021-45115`¶
Denial-of-service-möjlighet i UserAttributeSimilarityValidator
. Fullständig beskrivning
Versioner som påverkas¶
7 december 2021 - CVE 2021-44420¶
Möjlig förbikoppling av en uppströms åtkomstkontroll baserad på URL-sökvägar. fullständig beskrivning <https://www.djangoproject.com/weblog/2021/dec/07/security-releases/>`__
Versioner som påverkas¶
1 juli 2021 - CVE 2021-35042`¶
Potentiell SQL-injektion via osanerad QuerySet.order_by()
-ingång. Fullständig beskrivning
Versioner som påverkas¶
2 juni 2021 - CVE 2021-33203`¶
Potentiell katalogtraversering via admindocs
. Fullständig beskrivning
Versioner som påverkas¶
2 juni 2021 - CVE 2021-33571¶
Möjliga obestämda SSRF-, RFI- och LFI-attacker eftersom validerare accepterade ledande nollor i IPv4-adresser. fullständig beskrivning <https://www.djangoproject.com/weblog/2021/jun/02/security-releases/>`__
Versioner som påverkas¶
6 maj 2021 - CVE 2021-32052¶
Möjlighet till rubrikinjektion sedan URLValidator
accepterade nya rader i indata på Python 3.9.5+. Fullständig beskrivning
Versioner som påverkas¶
4 maj 2021 - CVE 2021-31542¶
Potentiell katalogtraversering via uppladdade filer. fullständig beskrivning <https://www.djangoproject.com/weblog/2021/may/04/security-releases/>`__
Versioner som påverkas¶
6 april 2021 - CVE 2021-28658¶
Potentiell katalogtraversering via uppladdade filer. fullständig beskrivning <https://www.djangoproject.com/weblog/2021/apr/06/security-releases/>`__
Versioner som påverkas¶
19 februari 2021 - CVE 2021-23336¶
Förgiftning av webbcache via django.utils.http.limited_parse_qsl()
. Fullständig beskrivning
Versioner som påverkas¶
1 februari 2021 - CVE 2021-3281¶
Potentiell katalogtraversering via archive.extract()
. fullständig beskrivning <https://www.djangoproject.com/weblog/2021/feb/01/security-releases/>`__
Versioner som påverkas¶
1 september 2020 - CVE 2020-24584`¶
Behörighetsexpansion i kataloger på mellannivå i filsystemets cache på Python 3.7+. Fullständig beskrivning
Versioner som påverkas¶
1 september 2020 - CVE 2020-24583`¶
Felaktiga behörigheter för kataloger på mellannivå i Python 3.7+. Fullständig beskrivning
Versioner som påverkas¶
3 juni 2020 - CVE 2020-13596`¶
Möjlig XSS via admin ForeignKeyRawIdWidget
. Fullständig beskrivning
Versioner som påverkas¶
3 juni 2020 - CVE 2020-13254¶
Potentiellt dataläckage via missbildade memcached-nycklar. fullständig beskrivning <https://www.djangoproject.com/weblog/2020/jun/03/security-releases/>`__
Versioner som påverkas¶
4 mars 2020 - CVE 2020-9402¶
Potentiell SQL-injektion via parametern tolerance
i GIS-funktioner och aggregat i Oracle. fullständig beskrivning <https://www.djangoproject.com/weblog/2020/mar/04/security-releases/>`__
Versioner som påverkas¶
3 februari 2020 - CVE 2020-7471¶
Potentiell SQL-injektion via StringAgg(delimiter)
. Fullständig beskrivning
Versioner som påverkas¶
18 december 2019 - CVE 2019-19844¶
Potentiell kapning av konto via formulär för återställning av lösenord. fullständig beskrivning <https://www.djangoproject.com/weblog/2019/dec/18/security-releases/>`__
Versioner som påverkas¶
2 december 2019 - CVE 2019-19118¶
Privilegieeskalering i Django-admin. fullständig beskrivning <https://www.djangoproject.com/weblog/2019/dec/02/security-releases/>`__
Versioner som påverkas¶
1 augusti 2019 - CVE 2019-14235`¶
Potentiell minnesutmattning i django.utils.encoding.uri_to_iri()
. Fullständig beskrivning
Versioner som påverkas¶
1 augusti 2019 - CVE 2019-14234`¶
SQL-injektionsmöjlighet i nyckel- och indexuppslagningar för JSONField
/HStoreField
. fullständig beskrivning <https://www.djangoproject.com/weblog/2019/aug/01/security-releases/>`__
Versioner som påverkas¶
1 augusti 2019 - CVE 2019-14233`¶
Möjligheten till överbelastningsattack i strip_tags()
. Fullständig beskrivning
Versioner som påverkas¶
1 augusti 2019 - CVE 2019-14232`¶
Denial-of-service-möjlighet i django.utils.text.Truncator
. Fullständig beskrivning
Versioner som påverkas¶
1 juli 2019 - CVE 2019-12781`¶
Felaktig HTTP-detektering med omvänd proxy som ansluter via HTTPS. fullständig beskrivning <https://www.djangoproject.com/weblog/2019/jul/01/security-releases/>`__
Versioner som påverkas¶
3 juni 2019 - CVE 2019-12308`¶
XSS via länken ”Aktuell URL” som genereras av AdminURLFieldWidget
. Fullständig beskrivning
Versioner som påverkas¶
3 juni 2019 - CVE 2019-11358`¶
Prototypförorening i medföljande jQuery. fullständig beskrivning <https://www.djangoproject.com/weblog/2019/jun/03/security-releases/>`__
Versioner som påverkas¶
11 februari 2019 - CVE 2019-6975`¶
Minnesutmattning i django.utils.numberformat.format()
. Fullständig beskrivning
Versioner som påverkas¶
Django 2.1 (patch)
Django 2.0 (patch och korrigering)
Django 1.11 (patch)
4 januari 2019 - CVE 2019-3498¶
Möjlighet att förfalska innehåll i standard 404-sidan. Fullständig beskrivning
Versioner som påverkas¶
1 oktober 2018 - CVE 2018-16984`¶
Lösenordshash avslöjas för administratörsanvändare med ”endast visning”. fullständig beskrivning <https://www.djangoproject.com/weblog/2018/oct/01/security-release/>`__
Versioner som påverkas¶
Django 2.1 (patch)
1 augusti 2018 - CVE 2018-14574`¶
Öppen möjlighet till omdirigering i CommonMiddleware
. Fullständig beskrivning
Versioner som påverkas¶
6 mars 2018 - CVE 2018-7537`¶
Denial-of-service-möjlighet i mallfiltren truncatechars_html
och truncatewords_html
. Fullständig beskrivning
Versioner som påverkas¶
6 mars 2018 - CVE 2018-7536`¶
Tjänstebortfall i mallfiltren urlize
och urlizetrunc
. Fullständig beskrivning
Versioner som påverkas¶
1 februari 2018 - CVE 2018-6188¶
Informationsläckage i AuthenticationForm
. Fullständig beskrivning
Versioner som påverkas¶
5 september 2017 - CVE 2017-12794`¶
Möjlig XSS i spårningsavsnittet på den tekniska 500-felsökningssidan. Fullständig beskrivning
Versioner som påverkas¶
4 april 2017 - CVE 2017-7234`¶
Sårbarhet för öppen omdirigering i django.views.static.serve()
. Fullständig beskrivning
Versioner som påverkas¶
4 april 2017 - CVE 2017-7233`¶
Öppen omdirigering och möjlig XSS-attack via användartillhandahållna numeriska URL:er för omdirigering. fullständig beskrivning <https://www.djangoproject.com/weblog/2017/apr/04/security-releases/>`__
Versioner som påverkas¶
1 november 2016 - CVE 2016-9014`¶
DNS-sårbarhet för ombindning när DEBUG=True
. fullständig beskrivning <https://www.djangoproject.com/weblog/2016/nov/01/security-releases/>`__
Versioner som påverkas¶
1 november 2016 - CVE 2016-9013`¶
Användare med hårdkodat lösenord som skapas när man kör tester på Oracle. fullständig beskrivning <https://www.djangoproject.com/weblog/2016/nov/01/security-releases/>`__
Versioner som påverkas¶
26 september 2016 - CVE 2016-7401`¶
CSRF-skydd förbikopplat på en webbplats med Google Analytics. Fullständig beskrivning
Versioner som påverkas¶
18 juli 2016 - CVE 2016-6186`¶
XSS i administratörens popup-meny för tillägg/ändring. Fullständig beskrivning
Versioner som påverkas¶
1 mars 2016 - CVE 2016-2513`¶
Uppräkning av användare genom tidsskillnad vid uppgradering av lösenordshashers arbetsfaktor. fullständig beskrivning <https://www.djangoproject.com/weblog/2016/mar/01/security-releases/>`__
Versioner som påverkas¶
1 mars 2016 - CVE 2016-2512`¶
Skadlig omdirigering och möjlig XSS-attack via användartillhandahållna omdirigeringsadresser som innehåller grundläggande autentisering. Fullständig beskrivning
Versioner som påverkas¶
1 februari 2016 - CVE 2016-2048`¶
Användare med behörigheten ”change” men inte ”add” kan skapa objekt för ModelAdmin
med save_as=True
. Fullständig beskrivning
Versioner som påverkas¶
Django 1.9 (patch)
24 november 2015 - CVE 2015-8213`¶
Möjlighet till läckage av inställningar i date
mallfilter. Fullständig beskrivning
Versioner som påverkas¶
18 augusti 2015 - CVE 2015-5963 / CVE 2015-5964¶
Denial-of-service-möjlighet i logout()
-vyn genom att fylla sessionslagret. Fullständig beskrivning
Versioner som påverkas¶
8 juli 2015 - CVE 2015-5145¶
Denial-of-service-möjlighet i URL-validering. fullständig beskrivning <https://www.djangoproject.com/weblog/2015/jul/08/security-releases/>`__
Versioner som påverkas¶
Django 1.8 (patch)
8 juli 2015 - CVE 2015-5144¶
Möjlighet till rubrikinjektion eftersom validerare accepterar nya rader i indata. fullständig beskrivning <https://www.djangoproject.com/weblog/2015/jul/08/security-releases/>`__
Versioner som påverkas¶
8 juli 2015 - CVE 2015-5143`¶
Möjligheten till nekad tjänst genom att fylla sessionslagret. fullständig beskrivning <https://www.djangoproject.com/weblog/2015/jul/08/security-releases/>`__
Versioner som påverkas¶
20 maj 2015 - CVE 2015-3982`¶
Fixade sessionsspolning i cached_db-backend. fullständig beskrivning <https://www.djangoproject.com/weblog/2015/may/20/security-release/>`__
Versioner som påverkas¶
Django 1.8 (patch)
18 mars 2015 - CVE 2015-2317`¶
Mildrad möjlig XSS-attack via URL-adresser som användaren själv har angett. fullständig beskrivning <https://www.djangoproject.com/weblog/2015/mar/18/security-releases/>`__
Versioner som påverkas¶
18 mars 2015 - CVE 2015-2316`¶
Möjligheten till överbelastningsattack med strip_tags()
. fullständig beskrivning <https://www.djangoproject.com/weblog/2015/mar/18/security-releases/>`__
Versioner som påverkas¶
9 mars 2015 - CVE 2015-2241¶
XSS-attack via egenskaper i ModelAdmin.readonly_fields
. Fullständig beskrivning
Versioner som påverkas¶
13 januari 2015 - CVE 2015-0222`¶
Denial-of-service i databas med ModelMultipleChoiceField
. Fullständig beskrivning
Versioner som påverkas¶
13 januari 2015 - CVE 2015-0221¶
Denial-of-service-attack mot django.views.static.serve()
. Fullständig beskrivning
Versioner som påverkas¶
13 januari 2015 - CVE 2015-0220`¶
Mildrad möjlig XSS-attack via URL-adresser som användaren själv har angett. fullständig beskrivning <https://www.djangoproject.com/weblog/2015/jan/13/security/>`__
Versioner som påverkas¶
13 januari 2015 - CVE 2015-0219`¶
WSGI header spoofing via underscore/dash conflation. fullständig beskrivning <https://www.djangoproject.com/weblog/2015/jan/13/security/>`__
Versioner som påverkas¶
20 augusti 2014 - CVE 2014-0483`¶
Dataläckage via manipulering av frågesträngar i admin. fullständig beskrivning <https://www.djangoproject.com/weblog/2014/aug/20/security/>`__
Versioner som påverkas¶
20 augusti 2014 - CVE 2014-0482`¶
RemoteUserMiddleware
session hijacking. Fullständig beskrivning
Versioner som påverkas¶
20 augusti 2014 - CVE 2014-0481¶
Förnekande av tjänst vid filuppladdning. fullständig beskrivning <https://www.djangoproject.com/weblog/2014/aug/20/security/>`__
Versioner som påverkas¶
20 augusti 2014 - CVE 2014-0480`¶
reverse()
kan generera webbadresser som pekar på andra värdar. Fullständig beskrivning
Versioner som påverkas¶
18 maj 2014 - CVE 2014-3730`¶
Missvisande URL:er från användarinmatning som validerats felaktigt. fullständig beskrivning <https://www.djangoproject.com/weblog/2014/may/14/security-releases-issued/>`__
Versioner som påverkas¶
18 maj 2014 - CVE 2014-1418`¶
Cacher kan tillåtas lagra och tillhandahålla privata data. fullständig beskrivning <https://www.djangoproject.com/weblog/2014/may/14/security-releases-issued/>`__
Versioner som påverkas¶
21 april 2014 - CVE 2014-0474`¶
MySQL typecasting orsakar oväntade sökresultat. fullständig beskrivning <https://www.djangoproject.com/weblog/2014/apr/21/security/>`__
Versioner som påverkas¶
21 april 2014 - CVE 2014-0473`¶
Cachelagring av anonyma sidor kan avslöja CSRF-token. fullständig beskrivning <https://www.djangoproject.com/weblog/2014/apr/21/security/>`__
Versioner som påverkas¶
21 april 2014 - CVE 2014-0472`¶
Oväntad exekvering av kod med hjälp av reverse()
. Fullständig beskrivning
Versioner som påverkas¶
14 september 2013 - CVE 2013-1443`¶
Avbrott i tjänsten via stora lösenord. fullständig beskrivning <https://www.djangoproject.com/weblog/2013/sep/15/security/>`__
Versioner som påverkas¶
Django 1.4 (patch och Python-kompatibilitetsfix)
Django 1.5 (patch)
10 september 2013 - CVE 2013-4315`¶
Directory-traversal via ssi
template tag. Fullständig beskrivning
Versioner som påverkas¶
13 augusti 2013 - CVE 2013-6044`¶
Möjlig XSS via icke validerade URL-omdirigeringsscheman. fullständig beskrivning <https://www.djangoproject.com/weblog/2013/aug/13/security-releases-issued/>`__
Versioner som påverkas¶
13 augusti 2013 - CVE 2013-4249`¶
XSS via admin som litar på URLField
-värden. Fullständig beskrivning
Versioner som påverkas¶
Django 1.5 (patch)
19 februari 2013 - CVE 2013-0306¶
Nekad tjänst via förbikoppling av formatet max_num
. Fullständig beskrivning
Versioner som påverkas¶
19 februari 2013 - CVE 2013-0305`¶
Informationsläckage via administratörshistoriklogg. fullständig beskrivning <https://www.djangoproject.com/weblog/2013/feb/19/security/>`__
Versioner som påverkas¶
19 februari 2013 - CVE 2013-1664 / CVE 2013-1665¶
Entitetsbaserade attacker mot Python XML-bibliotek. fullständig beskrivning <https://www.djangoproject.com/weblog/2013/feb/19/security/>`__
Versioner som påverkas¶
19 februari 2013 - Ingen CVE¶
Ytterligare förstärkning av hanteringen av Host
-rubriker. fullständig beskrivning <https://www.djangoproject.com/weblog/2013/feb/19/security/>`__
Versioner som påverkas¶
10 december 2012 - Nr CVE 2¶
Ytterligare förstärkning av validering av omdirigeringar. fullständig beskrivning <https://www.djangoproject.com/weblog/2012/dec/10/security/>`__
Versioner som påverkas¶
10 december 2012 - Nr CVE 1¶
Ytterligare förstärkning av hanteringen av Host
-rubriker. fullständig beskrivning <https://www.djangoproject.com/weblog/2012/dec/10/security/>`__
Versioner som påverkas¶
17 oktober 2012 - CVE 2012-4520`¶
Host
header poisoning. Fullständig beskrivning
Versioner som påverkas¶
30 juli 2012 - CVE 2012-3444`¶
Nekande av tjänst via stora bildfiler. fullständig beskrivning <https://www.djangoproject.com/weblog/2012/jul/30/security-releases-issued/>`__
Versioner som påverkas¶
30 juli 2012 - CVE 2012-3443`¶
Nekande av tjänst via komprimerade bildfiler. fullständig beskrivning <https://www.djangoproject.com/weblog/2012/jul/30/security-releases-issued/>`__
Versioner som påverkas¶
30 juli 2012 - CVE 2012-3442`¶
XSS via misslyckande att validera omdirigeringsschema. fullständig beskrivning <https://www.djangoproject.com/weblog/2012/jul/30/security-releases-issued/>`__
Versioner som påverkas¶
9 september 2011 - CVE 2011-4140`¶
Potentiell CSRF via Host
-huvud. Fullständig beskrivning
Versioner som påverkas¶
Detta meddelande var endast ett råd, så inga korrigeringar utfärdades.
Django 1.2
Django 1.3
9 september 2011 - CVE 2011-4139`¶
Host
header cache poisoning. Fullständig beskrivning
Versioner som påverkas¶
9 september 2011 - CVE 2011-4138`¶
Informationsläckage/ godtyckligt utfärdande av begäran via URLField.verify_exists
. fullständig beskrivning <https://www.djangoproject.com/weblog/2011/sep/09/security-releases-issued/>`__
Versioner som påverkas¶
9 september 2011 - CVE 2011-4137`¶
Nekande av tjänst via URLField.verify_exists
. fullständig beskrivning <https://www.djangoproject.com/weblog/2011/sep/09/security-releases-issued/>`__
Versioner som påverkas¶
9 september 2011 - CVE 2011-4136`¶
Sessionsmanipulation vid användning av minnescache-stödd session. fullständig beskrivning <https://www.djangoproject.com/weblog/2011/sep/09/security-releases-issued/>`__
Versioner som påverkas¶
8 februari 2011 - CVE 2011-0698¶
Directory-traversal i Windows via felaktig hantering av sökvägsseparatorer. fullständig beskrivning <https://www.djangoproject.com/weblog/2011/feb/08/security/>`__
Versioner som påverkas¶
8 februari 2011 - CVE 2011-0697`¶
XSS via osanitiserade namn på uppladdade filer. fullständig beskrivning <https://www.djangoproject.com/weblog/2011/feb/08/security/>`__
Versioner som påverkas¶
8 februari 2011 - CVE 2011-0696`¶
CSRF via förfalskade HTTP-rubriker. fullständig beskrivning <https://www.djangoproject.com/weblog/2011/feb/08/security/>`__
Versioner som påverkas¶
22 december 2010 - CVE 2010-4535`¶
Nekande av tjänst i mekanism för återställning av lösenord. fullständig beskrivning <https://www.djangoproject.com/weblog/2010/dec/22/security/>`__
Versioner som påverkas¶
22 december 2010 - CVE 2010-4534¶
Informationsläckage i administrativt gränssnitt. fullständig beskrivning <https://www.djangoproject.com/weblog/2010/dec/22/security/>`__
Versioner som påverkas¶
8 september 2010 - CVE 2010-3082¶
XSS genom att lita på osäkra cookie-värden. fullständig beskrivning <https://www.djangoproject.com/weblog/2010/sep/08/security-release/>`__
Versioner som påverkas¶
Django 1.2 (patch)
9 oktober 2009 - CVE 2009-3695¶
Nekad tjänst via patologiska reguljära uttryck. fullständig beskrivning <https://www.djangoproject.com/weblog/2009/oct/09/security/>`__
Versioner som påverkas¶
28 juli 2009 - CVE 2009-2659¶
Directory-traversal i utvecklingsserverns mediahanterare. fullständig beskrivning <https://www.djangoproject.com/weblog/2009/jul/28/security/>`__
Versioner som påverkas¶
2 september 2008 - CVE 2008-3909¶
CSRF via bevarande av POST-data under admininloggning. fullständig beskrivning <https://www.djangoproject.com/weblog/2008/sep/02/security/>`__
Versioner som påverkas¶
14 maj 2008 - CVE 2008-2302¶
XSS via omdirigering av admininloggning. fullständig beskrivning <https://www.djangoproject.com/weblog/2008/may/14/security/>`__
Versioner som påverkas¶
26 oktober 2007 - CVE 2007-5712`¶
Nekad tjänst via godtyckligt stort Accept-Language
-huvud. fullständig beskrivning <https://www.djangoproject.com/weblog/2007/oct/26/security-fix/>`__
Versioner som påverkas¶
Frågor före Djangos säkerhetsprocess¶
Vissa säkerhetsfrågor hanterades innan Django hade en formaliserad säkerhetsprocess i bruk. För dessa kanske inte nya versioner utfärdades vid den tiden och CVE:er kanske inte tilldelades.
21 januari 2007 - CVE 2007-0405`¶
Uppenbar ”cachelagring” av autentiserad användare. fullständig beskrivning <https://www.djangoproject.com/weblog/2007/jan/21/0951/>`__
Versioner som påverkas¶
Django 0.95 (patch)
16 augusti 2006 - CVE 2007-0404`¶
Problem med validering av filnamn i översättningsramverk. fullständig beskrivning <https://www.djangoproject.com/weblog/2006/aug/16/compilemessages/>`__