CSRF атака в Django

04 сентября, 2008

Программа: Django версии до 0.91.3, 0.95.4 и 0.96.3

Опасность: Низкая

Наличие эксплоита: Нет

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение.

Уязвимость существует из-за того, что административное приложение Django не осуществляет проверку для подтверждения подлинности запросов при повторной аутентификации. Удаленный пользователь может удалить или изменить данные, когда неавторизованный пользователь посещает специально сформированный сайт и, затем, авторизуется в приложении.

URL производителя: www.djangoproject.com

Решение: Установите последнюю версию 0.91.3, 0.95.4 или 0.96.3 с сайта производителя.

URL адреса: 

• http://www.djangoproject.com/weblog/2008/sep/02/security/