ALT-PU-2015-1872-2 — python-module-django

BDU:2015-11320

MEDIUM5.0

Уязвимость фреймворка для веб-приложений Django, позволяющая нарушителю вызвать отказ в обслуживании

Опубликовано: 2015-09-15Изменено: 2021-03-23

CVSS 2.0СРЕДНЯЯ 5.0

CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:P

Ссылки

BDU:2015-11321

MEDIUM5.0

Уязвимость фреймворка для веб-приложений Django, позволяющая нарушителю вызвать отказ в обслуживании

Опубликовано: 2015-09-15Изменено: 2021-03-23

CVSS 2.0СРЕДНЯЯ 5.0

CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:P

Ссылки

BDU:2015-11591

HIGH7.8

Уязвимость программной платформы для веб-приложений Django, позволяющая нарушителю вызвать отказ в обслуживании

Опубликовано: 2015-10-13Изменено: 2021-03-23

CVSS 2.0ВЫСОКАЯ 7.8

CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:C

Ссылки

CVE-2015-5143

BDU:2015-11592

MEDIUM4.3

Уязвимость программной платформы для веб-приложений Django, позволяющая нарушителю вызвать отказ в обслуживании

Опубликовано: 2015-10-13Изменено: 2021-03-23

CVSS 2.0СРЕДНЯЯ 4.3

CVSS:2.0/AV:N/AC:M/Au:N/C:N/I:P/A:N

Ссылки

CVE-2015-5144

CVE-2015-5143

HIGH7.8

The session backends in Django before 1.4.21, 1.5.x through 1.6.x, 1.7.x before 1.7.9, and 1.8.x before 1.8.3 allows remote attackers to cause a denial of service (session store consumption) via multiple requests with unique session keys.

Опубликовано: 2015-07-14Изменено: 2025-04-12

CVSS 2.0ВЫСОКАЯ 7.8

CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:C

Ссылки

CVE-2015-5144

MEDIUM4.3

Django before 1.4.21, 1.5.x through 1.6.x, 1.7.x before 1.7.9, and 1.8.x before 1.8.3 uses an incorrect regular expression, which allows remote attackers to inject arbitrary headers and conduct HTTP response splitting attacks via a newline character in an (1) email message to the EmailValidator, a (2) URL to the URLValidator, or unspecified vectors to the (3) validate_ipv4_address or (4) validate_slug validator.

Опубликовано: 2015-07-14Изменено: 2025-04-12

CVSS 2.0СРЕДНЯЯ 4.3

CVSS:2.0/AV:N/AC:M/Au:N/C:N/I:P/A:N

Ссылки

CVE-2015-5145

HIGH7.8

validators.URLValidator in Django 1.8.x before 1.8.3 allows remote attackers to cause a denial of service (CPU consumption) via unspecified vectors.

Опубликовано: 2015-07-14Изменено: 2025-04-12

CVSS 2.0ВЫСОКАЯ 7.8

CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:C

Ссылки

CVE-2015-5963

MEDIUM5.0

contrib.sessions.middleware.SessionMiddleware in Django 1.8.x before 1.8.4, 1.7.x before 1.7.10, 1.4.x before 1.4.22, and possibly other versions allows remote attackers to cause a denial of service (session store consumption or session record removal) via a large number of requests to contrib.auth.views.logout, which triggers the creation of an empty session record.

Опубликовано: 2015-08-24Изменено: 2025-04-12

CVSS 2.0СРЕДНЯЯ 5.0

CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:P

Ссылки

CVE-2015-5964

MEDIUM5.0

The (1) contrib.sessions.backends.base.SessionBase.flush and (2) cache_db.SessionStore.flush functions in Django 1.7.x before 1.7.10, 1.4.x before 1.4.22, and possibly other versions create empty sessions in certain circumstances, which allows remote attackers to cause a denial of service (session store consumption) via unspecified vectors.

Опубликовано: 2015-08-24Изменено: 2025-04-12

CVSS 2.0СРЕДНЯЯ 5.0

CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:P

Ссылки

GHSA-cqf7-ff9h-7967

HIGH8.7

Django ReDoS in validators.URLValidator

Опубликовано: 2022-05-17Изменено: 2024-09-18

CVSS 3.xВЫСОКАЯ 8.7

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

CVSS 4.0ВЫСОКАЯ 8.7

CVSS:4.0/CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N

Ссылки

GHSA-h582-2pch-3xv3

HIGH8.7

Django Denial-of-service by filling session store

Опубликовано: 2019-07-06Изменено: 2024-09-18

CVSS 3.xВЫСОКАЯ 8.7

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

CVSS 4.0ВЫСОКАЯ 8.7

CVSS:4.0/CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N

Ссылки

GHSA-pgxh-wfw4-jx2v

MEDIUM6.6

Django denial of service via empty session record creation

Опубликовано: 2022-05-17Изменено: 2024-09-17

CVSS 3.xСРЕДНЯЯ 6.6

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

CVSS 4.0СРЕДНЯЯ 6.6

CVSS:4.0/CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N/E:U

Ссылки

GHSA-q5qw-4364-5hhm

HIGH8.7

Django Vulnerable to HTTP Response Splitting Attack

Опубликовано: 2022-05-17Изменено: 2024-09-18

CVSS 3.xВЫСОКАЯ 8.7

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

CVSS 4.0ВЫСОКАЯ 8.7

CVSS:4.0/CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N

Ссылки

GHSA-x38m-486c-2wr9

MEDIUM6.6

Denial-of-service possibility in logout() view by filling session store

Опубликовано: 2022-05-17Изменено: 2024-09-18

CVSS 3.xСРЕДНЯЯ 6.6

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

CVSS 4.0СРЕДНЯЯ 6.6

CVSS:4.0/CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N/E:U

Ссылки

Обновление пакета python-module-django в ветке sisyphus

Закрытые проблемы (14)

Уязвимость фреймворка для веб-приложений Django, позволяющая нарушителю вызвать отказ в обслуживании

Уязвимость фреймворка для веб-приложений Django, позволяющая нарушителю вызвать отказ в обслуживании

Уязвимость программной платформы для веб-приложений Django, позволяющая нарушителю вызвать отказ в обслуживании

Уязвимость программной платформы для веб-приложений Django, позволяющая нарушителю вызвать отказ в обслуживании

The session backends in Django before 1.4.21, 1.5.x through 1.6.x, 1.7.x before 1.7.9, and 1.8.x before 1.8.3 allows remote attackers to cause a denial of service (session store consumption) via multiple requests with unique session keys.

validators.URLValidator in Django 1.8.x before 1.8.3 allows remote attackers to cause a denial of service (CPU consumption) via unspecified vectors.

Django ReDoS in validators.URLValidator

Django Denial-of-service by filling session store

Django denial of service via empty session record creation

Django Vulnerable to HTTP Response Splitting Attack

Denial-of-service possibility in logout() view by filling session store