关于Django拒绝服务漏洞(CVE-2023-36053)的预警提示

发布时间: 2023-07-04      访问次数: 336

一、漏洞详情

Django是一个基于Python的开源Web应用框架。

Django项目发布安全公告,修复了Django中的一个拒绝服务漏洞(CVE-2023-36053)。Django多个受影响版本中,EmailValidatorURLValidator可能通过大量电子邮件和URL的域名标签受到ReDoS(正则表达式拒绝服务)攻击,威胁者可构造特殊的字符串,导致服务器资源被耗尽,造成拒绝服务。

建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。

二、影响范围

Django版本4.2< 4.2.3

Django版本4.1< 4.1.10

Django版本3.2< 3.2.20

三、修复建议

目前该漏洞已经修复,受影响用户可升级到以下版本:

5.5.2<=Parse-server版本< 6.0.0

Parse-server版本:>=6.2.1

目前该漏洞已经修复,受影响用户可升级到以下版本:

Django版本4.2>=4.2.3

Django版本4.1>=4.1.10

Django版本3.2>=3.2.20

下载链接:https://www.djangoproject.com/weblog/2023/jul/03/security-releases/