北京赛克艾威科技有限公司 2024-07-11
Django 是Python编写的开源Web应用框架,generate\_filename 方法是 django.core.files.storage.Storage 类中用于生成文件名的方法。 受影响版本中,如果开发者重写 django.core.files.storage.Storage 的 generate\_filename 方法时未对文件名进行校验则会导致路径遍历漏洞。 攻击者可利用该漏洞构造恶意的文件名\(如:../\),当目标系统调用 save\(\) 方法保存文件时可读取或修改系统上的敏感文件。
1. 将组件 django 升级至 4.2.14 及以上版本 2. 将组件 django 升级至 5.0.7 及以上版本 3. 将组件 python-django 升级至 4.2.14-1 及以上版本
https://www.oscs1024.com/hd/MPS-h7y8-9a6p
https://nvd.nist.gov/vuln/detail/CVE-2024-39330
https://github.com/advisories/GHSA-9jmf-237g-qf46
https://github.com/django/django/commit/2b00edc0151a660d1eb86da4059904a0fc4e095e