关于Django拒绝服务漏洞(CVE-2023-46695)的预警提示

发布时间: 2023-11-21      访问次数: 305

一、漏洞详情

Django是一个基于Python的开源Web应用框架。

近日,监测到Django项目发布安全公告,修复了Django中的一个拒绝服务漏洞(CVE-2023-46695)。该漏洞存在于WindowsUsernameField中,由于NFKC规范化在Windows上运行缓慢,当django.contrib.auth.forms.UsernameField接收包含大量Unicode字符的输入时可能导致拒绝服务。

建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。

二、影响范围

Django 4.2版本 < 4.2.7

Django 4.1版本 < 4.1.13

Django 3.2版本 < 3.2.23

三、修复建议

目前该漏洞已经修复,受影响用户可升级到以下版本:

Django 4.2版本 >=4.2.7

Django 4.1版本 >= 4.1.13

Django 3.2版本 >=3.2.23