Уязвимость CVE-2016-2512: Информация

Описание

The utils.http.is_safe_url function in Django before 1.8.10 and 1.9.x before 1.9.3 allows remote attackers to redirect users to arbitrary web sites and conduct phishing attacks or possibly conduct cross-site scripting (XSS) attacks via a URL containing basic authentication, as demonstrated by http://mysite.example.com\@attacker.com.

Важность: HIGH (7,4) Вектор: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:H/A:N

URL: https://nvd.nist.gov/vuln/detail/CVE-2016-2512

Опубликовано: 8 апреля 2016 г.

Изменено: 8 сентября 2017 г.

Идентификатор типа ошибки: CWE-79

Исправленные пакеты

Имя пакета	Ветка	Исправлено в версии	Версия в репозитории	Errata ID	№ Задания	Состояние
python-module-django	p9	1.8.15-alt1	1.11.29-alt2	ALT-PU-2016-2173-1	171331	Исправлено
python-module-django	p8	1.8.18-alt0.M80P.1	1.8.18-alt0.M80P.1	ALT-PU-2017-1760-1	184483	Исправлено
python-module-django	c9f2	1.8.15-alt1	1.11.23-alt1	ALT-PU-2016-2173-1	171331	Исправлено
python-module-django	c7	1.8.18-alt0.M70C.1	1.8.18-alt0.M70C.1	ALT-PU-2017-1754-1	184484	Исправлено

Ссылки на рекомендации, решения и инструменты

Ссылка	Ресурс
https://github.com/django/django/commit/c5544d289233f501917e25970c03ed444abbd4f0
https://www.djangoproject.com/weblog/2016/mar/01/security-releases/	Vendor Advisory
RHSA-2016:0504
http://www.oracle.com/technetwork/topics/security/bulletinapr2016-2952098.html
83879
USN-2915-2
USN-2915-3
DSA-3544
RHSA-2016:0502
RHSA-2016:0505
RHSA-2016:0506
USN-2915-1
1035152

Подверженные конфигурации:
1. Конфигурация 1
  cpe:2.3:a:djangoproject:django:1.8.9:*:*:*:*:*:*:*
  cpe:2.3:a:djangoproject:django:1.9.1:*:*:*:*:*:*:*
  cpe:2.3:a:djangoproject:django:1.9:*:*:*:*:*:*:*
  cpe:2.3:a:djangoproject:django:1.9.2:*:*:*:*:*:*:*

Версия: v24.5.1

Наверх

Уязвимость CVE-2016-2512: Информация

Описание

Исправленные пакеты

Ссылки на рекомендации, решения и инструменты

Конфигурация 1