Django密码重置处的账户挟制误差危害通告

宣布时间 2019-12-19

误差编号和级别


CVE编号:CVE-2019-19844 ,危险级别:高危 ,CVSS分值:官方未评定


影响版本


Django < 1.11.27

Django 2.x < 2.2.9

Django 3.x < 3.0.1


误差概述


Django是Django基金会的一套基于Python语言的开源Web应用框架。该框架包括面向工具的映射器、视图系统、模板系统等。


Django 在2019年12月18日举行了清静补丁更新, 修复了一个密码重置处的账户挟制误差。该误差由于Django的密码重置功效不区分巨细写的来对数据库举行邮箱地址盘问 ,在处置惩罚Unicode的巨细写转换时保存剖析问题 ,可能会导致账户挟制问题。


误差验证


暂无POC/EXP。


修复建议


现在厂商已宣布升级补丁 ,请更新Django版本到3.0.1、2.2.9、1.11.27:https://www.djangoproject.com/weblog/2019/dec/18/security-releases/。


参考链接


https://www.djangoproject.com/weblog/2019/dec/18/security-releases/