关于Django拒绝服务漏洞(CVE-2023-24580)的预警提示

发布时间:2023-02-28浏览次数:196

一、漏洞详情

Django是一个基于Python的开源Web应用框架。

Django项目发布更新公告,修复了Django文件上传中的一个拒绝服务漏洞(CVE-2023-24580)。该漏洞存在于多部分请求解析器(Multipart Request Parser)中,将某些输入传递给多部分表单可能会导致打开的文件过多或内存耗尽,并可能导致拒绝服务。

建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。

二、影响范围

4.1 <= Django版本 < 4.1.7

4.0 <= Django版本 < 4.0.10

3.2 <= Django版本 < 3.2.18

三、修复建议

目前该漏洞已经修复,受影响用户可升级到以下版本:

Django版本 >= 4.1.7

Django版本 >= 4.0.10

Django版本 >= 3.2.18

下载链接:https://github.com/django/django/tags