Django 1.8.1/1.8.2/1.8.6/1.9 django.utils.http.is_safe_url cross site scripting

wpiseditHistoryDiffjsonxmlCTI
CVSS Meta Temp Score
Exploit Aktualna Cena (≈)
CTI Interest Score
6.4$0-$5k0.07

Podatność, która została odkryta w Django 1.8.1/1.8.2/1.8.6/1.9 (Content Management System). Problemem dotknięta jest funkcja django.utils.http.is_safe_url. Dzięki manipulowaniu przy użyciu nieznanych danych wejściowych można doprowadzić do wystąpienia podatności cross site scripting. Ma to wpływ na poufność i spójność.

Informacja o podatności została opublikowana w dniu 2016-03-01 (Website). Raport na temat podatności został udostępniony pod adresem djangoproject.com. Podatność ta jest znana jako CVE-2016-2512. Luka jest łatwo eksploitowalna. Możliwe jest zdalne zainicjowanie ataku. Nie potrzeba żadnej formy uwierzytelnienia w celu eksploitacji. Szczegóły techniczne są znane, ale brak dostępnego exploita.

Skaner podatności Nessus jest wyposażony w plugin ID 89079 (Ubuntu 12.04 LTS / 14.04 LTS / 15.10 : python-django vulnerabilities (USN-2915-1)), który pomaga ustalić, czy dane środowisko jest podatne na atak.

Aktualizacja do wersji 1.8.10 lub 1.9.3 eliminuje tę podatność. Potencjalne zabezpieczenie zostało opublikowane po ujawnieniu podatności.

Błąd jest również udokumentowany w bazie podatności SecurityFocus (BID 83879), X-Force (111179), Vulnerability Center (SBV-58063) i Tenable (89079).

Produktinfoedit

Rodzaj

Name

CPE 2.3infoedit

CPE 2.2infoedit

CVSSv3infoedit

VulDB Meta Base Score: 7.4
VulDB Meta Temp Score: 6.4

VulDB Base Score: 7.4
VulDB Temp Score: 6.4
VulDB Vector: 🔍
VulDB Niezawodność: 🔍

NVD Base Score: 7.4
NVD Vector: 🔍

CVSSv2infoedit

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
VectorComplexityAuthenticationConfidentialityIntegrityAvailability
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Niezawodność: 🔍

NVD Base Score: 🔍

Exploitinfoedit

Klasa: Cross site scripting
CWE: CWE-79
ATT&CK: T1059.007

Lokalny: Nie
Zdalny: Tak

Dostępność: 🔍
Status: Niesprawdzone

Przewidywanie ceny: 🔍
Aktualny szacunek cena: 🔍

0-Dayunlockunlockunlockunlock
Dzisiajunlockunlockunlockunlock

Nessus ID: 89079
Nessus Name: Ubuntu 12.04 LTS / 14.04 LTS / 15.10 : python-django vulnerabilities (USN-2915-1)
Nessus File: 🔍
Nessus Risk: 🔍
Nessus Family: 🔍
Nessus Context: 🔍

OpenVAS ID: 867773
OpenVAS Name: Fedora Update for python-django FEDORA-2016-11183
OpenVAS File: 🔍
OpenVAS Family: 🔍

Qualys ID: 🔍
Qualys Name: 🔍

Threat Intelligenceinfoedit

Zagrożenie: 🔍
Przeciwnicy: 🔍
Geopolityka: 🔍
Gospodarka: 🔍
Prognozy: 🔍
Przeciwdziałanie: 🔍

Przeciwdziałanieinfoedit

Zalecane: Upgrade
Status: 🔍

Reaction Time: 🔍
0-Day Time: 🔍
Exposure Time: 🔍

Upgrade: Django 1.8.10/1.9.3

Oś czasuinfoedit

2016-02-19 🔍
2016-03-01 +11 dni 🔍
2016-03-01 +0 dni 🔍
2016-03-01 +0 dni 🔍
2016-03-01 +0 dni 🔍
2016-03-02 +1 dni 🔍
2016-03-03 +1 dni 🔍
2016-04-08 +35 dni 🔍
2016-04-12 +4 dni 🔍
2018-08-13 +853 dni 🔍
2019-02-04 +175 dni 🔍

Źródłainfoedit

Raport: djangoproject.com
Status: Potwierdzone
Potwierdzenie: 🔍

CVE: CVE-2016-2512 (🔍)
OVAL: 🔍

SecurityFocus: 83879 - Django CVE-2016-2512 Cross Site Scripting Vulnerability
X-Force: 111179 - Django django.utils.http.is_safe_url() function cross-site scripting
Vulnerability Center: 58063 - Django before 1.8.10 and 1.9 before 1.9.3 Remote XSS via a URL Containing Basic Authentication, Medium

Zobacz także: 🔍

Wpisinfoedit

Stworzono: 2016-03-03 10:51
Aktualizacje: 2019-02-04 11:31
Zmiany: (12) vulnerability_cvss3_vuldb_av vulnerability_cvss3_vuldb_ac vulnerability_cvss3_vuldb_pr vulnerability_cvss3_vuldb_ui vulnerability_cvss3_vuldb_s vulnerability_cvss3_vuldb_c vulnerability_cvss3_vuldb_i vulnerability_cvss3_vuldb_a advisory_confirm_url countermeasure_date source_securityfocus_date source_securityfocus_class
Kompletny: 🔍

Komentarze

Do you want to use VulDB in your project?

Use the official API to access entries easily!