一、漏洞详情
Django是一个基于Python的开源Web应用框架。
近日,监测到Django项目发布安全公告,修复了Django中的一个拒绝服务漏洞(CVE-2023-46695)。该漏洞存在于Windows上UsernameField中,由于NFKC规范化在Windows上运行缓慢,当django.contrib.auth.forms.UsernameField接收包含大量Unicode字符的输入时可能导致拒绝服务。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
Django 4.2版本 < 4.2.7
Django 4.1版本 < 4.1.13
Django 3.2版本 < 3.2.23
三、修复建议
目前该漏洞已经修复,受影响用户可升级到以下版本:
Django 4.2版本 >=4.2.7
Django 4.1版本 >= 4.1.13
Django 3.2版本 >=3.2.23