Django 无限循环漏洞

时间:2022-10-26 12:39:39

漏洞描述

Django 是Django基金会的一套基于Python语言的开源Web应用框架。

Django 的受影响版本中的 MultiPartParser 中存在解析文件时无限循环漏洞,攻击者可利用此漏洞在解析文件时将恶意输入传递给multipart forms,从而导致敏感信息泄露、数据添加或修改或拒绝服务 (拒绝服务)。

漏洞名称 Django 无限循环漏洞
漏洞类型 不可达退出条件的循环(无限循环)
发现时间 2022-10-16
漏洞影响广度 广
MPS编号 MPS-2022-2266
CVE编号 CVE-2022-23833
CNVD编号 CNVD-2022-31854

影响范围

django@[4.0, 4.0.2)

python-django@(-∞, 1.10.7-2+deb9u15)

python-django-common@(-∞, 1.10.7-2+deb9u15)

python-django-doc@(-∞, 1.10.7-2+deb9u15)

python-django-doc@(-∞, 3.2.12-1)

python-django-doc@(-∞, 1.10.7-2+deb9u15)

python-django@(-∞, 1.10.7-2+deb9u15)

python-django-common@(-∞, 1.10.7-2+deb9u15)

python3-django@(-∞, 3.2.12-1)

python-django-common@(-∞, 1.10.7-2+deb9u15)

python-django-doc@(-∞, 1.10.7-2+deb9u15)

python3-django@(-∞, 1.10.7-2+deb9u15)

python-django@(-∞, 1.10.7-2+deb9u15)

python-django-doc@(-∞, 3.2.12-1)

python3-django@(-∞, 1:1.10.7-2+deb9u15)

python-django-doc@(-∞, 1:1.10.7-2+deb9u15)

python-django@(-∞, 1:1.10.7-2+deb9u15)

python-django-common@(-∞, 1:1.10.7-2+deb9u15)

python-django-doc@影响所有版本

python3-django@影响所有版本

python-django-common@影响所有版本

python-django-doc@影响所有版本

python-django-doc@(-∞, 2:3.2.12-1)

python3-django@影响所有版本

python-django@影响所有版本

python3-django@(-∞, 2:3.2.12-1)

python-django-common@(-∞, 1:1.10.7-2+deb9u15)

python-django@(-∞, 1:1.10.7-2+deb9u15)

python3-django@(-∞, 1:1.10.7-2+deb9u15)

python-django-doc@(-∞, 1:1.10.7-2+deb9u15)

python3-django@(-∞, 2:3.2.12-1)

python-django-doc@影响所有版本

python-django@影响所有版本

python-django-doc@影响所有版本

python-django-common@影响所有版本

python3-django@影响所有版本

python3-django@影响所有版本

python-django-doc@(-∞, 2:3.2.12-1)

python-django-doc@(-∞, 1.10.7-2+deb9u15)

python-django-common@(-∞, 1.10.7-2+deb9u15)

python3-django@(-∞, 1.10.7-2+deb9u15)

python-django@(-∞, 1.10.7-2+deb9u15)

python3-django@影响所有版本

python-django-doc@影响所有版本

python3-django@(-∞, 3.2.12-1)

python3-django@影响所有版本

python-django@影响所有版本

python-django-doc@影响所有版本

python-django-doc@(-∞, 3.2.12-1)

python-django-common@影响所有版本

python-django@(-∞, 3.2.12-1)

python-django@影响所有版本

django@[3.0, 3.2.12)

django@[2.2, 2.2.27)

修复方案

将组件 python-django 升级至 1.10.7-2+deb9u15 及以上版本

将组件 python3-django 升级至 3.2.12-1 及以上版本

将组件 python3-django 升级至 1:1.10.7-2+deb9u15 及以上版本

将组件 python-django 升级至 1:1.10.7-2+deb9u15 及以上版本

将组件 python-django 升级至 3.2.12-1 及以上版本

将组件 django 升级至 4.0.2 及以上版本

将组件 python-django-common 升级至 1.10.7-2+deb9u15 及以上版本

将组件 python-django-doc 升级至 1:1.10.7-2+deb9u15 及以上版本

将组件 python-django-common 升级至 1:1.10.7-2+deb9u15 及以上版本

将组件 python-django-doc 升级至 2:3.2.12-1 及以上版本

将组件 django 升级至 2.2.27 及以上版本

将组件 python-django-doc 升级至 3.2.12-1 及以上版本

将组件 python3-django 升级至 1.10.7-2+deb9u15 及以上版本

将组件 django 升级至 3.2.12 及以上版本

将组件 python-django-doc 升级至 1.10.7-2+deb9u15 及以上版本

将组件 python3-django 升级至 2:3.2.12-1 及以上版本

参考链接

https://www.oscs1024.com/hd/MPS-2022-2266

https://nvd.nist.gov/vuln/detail/CVE-2022-23833

https://www.djangoproject.com/weblog/2022/feb/01/security-releases/

    

情报订阅

OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:

https://www.oscs1024.com/cm/?src=osc

具体订阅方式详见:

https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc

Django 无限循环漏洞