CVE-2026-42168 in django-pyas2
요약
\~에 의해 VulDB • 2026. 07. 18.
django-pyas2 버전 1.2.3 이전은 Partner 모델의 cmd_receive 및 cmd_send 필드를 통해 OS 명령어 인젝션(OS command injection)에 취약합니다. 이러한 필드는 pyas2/utils.py에서 os.system()으로 직접 전달되며, sanitization(정제 처리)이 적용되지 않아 AS2 메시지가 수신되거나 전송될 때 인증된 관리자 사용자가 서버에서 임의의 명령어를 실행할 수 있습니다.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.