Python-Django 是一个功能强大、开源的重量级 Web 应用框架。4 月 9 日发布了安全公告,修复了该框架中发现的目录遍历漏洞。以下是漏洞要点:
漏洞详情
漏洞信息来源链接如下:
https://www.debian.org/lts/security/2021/dla-2622
CVE-2021-28658,严重程度:重要。
目录遍历(路径遍历)是由于对用户输入的文件名进行安全性校验不足而导致的安全漏洞,使攻击者通过构造特殊字符就可以绕过服务器的安全限制,访问任意文件(包括根目录以外的文件),甚至执行系统命令。
在 Django 2.2 的 2.2.20 版本及以前、3.0 的 3.0.14 版本及以前、3.1 的 3.1.8 版本及以前中存在目录遍历漏洞;MultipartParser 允许通过具有适当格式的文件名的上传文件遍历目录。
受影响的产品及版本
上述漏洞影响某些旧版本的系统组件。
解决方案
对于受影响的系统,问题已在相关软件包的修复版本中得到解决,建议尽快更新相关软件包。
更多漏洞信息及升级,请访问官方安全公告页面:
https://www.debian.org/lts/security/
