一、漏洞详情
Django是一个基于Python的开源Web应用框架。
Django项目发布安全公告,修复了Django中的一个拒绝服务漏洞(CVE-2023-36053)。Django多个受影响版本中,EmailValidator和URLValidator可能通过大量电子邮件和URL的域名标签受到ReDoS(正则表达式拒绝服务)攻击,威胁者可构造特殊的字符串,导致服务器资源被耗尽,造成拒绝服务。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
Django版本4.2:< 4.2.3
Django版本4.1:< 4.1.10
Django版本3.2:< 3.2.20
三、修复建议
目前该漏洞已经修复,受影响用户可升级到以下版本:
5.5.2<=Parse-server版本< 6.0.0
Parse-server版本:>=6.2.1
目前该漏洞已经修复,受影响用户可升级到以下版本:
Django版本4.2:>=4.2.3
Django版本4.1:>=4.1.10
Django版本3.2:>=3.2.20
下载链接:https://www.djangoproject.com/weblog/2023/jul/03/security-releases/
