CVE-2017-12794 in Django
Tóm tắt
Bởi VulDB • 03/06/2026
Trong Django phiên bản 1.10.x trước 1.10.8 và 1.11.x trước 1.11.5, cơ chế tự động thoát ký tự HTML (HTML autoescaping) đã bị vô hiệu hóa trong một phần của template dành cho trang gỡ lỗi kỹ thuật 500. Với các điều kiện phù hợp, lỗ hổng này cho phép thực hiện tấn công cross-site scripting (XSS). Lỗ hổng bảo mật này không ảnh hưởng đến hầu hết các trang web sản xuất vì người dùng không nên cấu hình "DEBUG = True" (làm cho trang này có thể truy cập được) trong cài đặt môi trường production.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.