| Title | Django の django.util.http.is_safe_url 関数におけるオープンリダイレクト攻撃を実行される脆弱性 |
|---|---|
| Summary | Django の django.util.http.is_safe_url 関数は、URL を適切に検証しないため、オープンリダイレクト攻撃を実行される脆弱性が存在します。 |
| Possible impacts | 第三者により、不正な形式の URL を介して、オープンリダイレクト攻撃を実行される可能性があります。 |
| Solution | ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | May 14, 2014, midnight |
| Registration Date | May 20, 2014, 2:30 p.m. |
| Last Update | May 20, 2014, 2:30 p.m. |
| CVSS2.0 : 警告 | |
| Score | 4.3 |
|---|---|
| Vector | AV:N/AC:M/Au:N/C:N/I:P/A:N |
| Canonical |
| Ubuntu 10.04 LTS |
| Ubuntu 12.04 LTS |
| Ubuntu 12.10 |
| Ubuntu 13.10 |
| Ubuntu 14.04 LTS |
| Django Software Foundation |
| Django 1.4 以上 1.4.13 未満 |
| Django 1.5 以上 1.5.8 未満 |
| Django 1.6 以上 1.6.5 未満 |
| Django 1.7 以上 1.7b4 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2014年05月20日] 掲載 |
Feb. 17, 2018, 10:37 a.m. |
| Summary | The django.util.http.is_safe_url function in Django 1.4 before 1.4.13, 1.5 before 1.5.8, 1.6 before 1.6.5, and 1.7 before 1.7b4 does not properly validate URLs, which allows remote attackers to conduct open redirect attacks via a malformed URL, as demonstrated by "http:\\\djangoproject.com." |
|---|---|
| Publication Date | May 17, 2014, 12:55 a.m. |
| Registration Date | Jan. 26, 2021, 3:11 p.m. |
| Last Update | Nov. 21, 2024, 11:08 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:o:canonical:ubuntu_linux:13.10:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:canonical:ubuntu_linux:12.10:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:canonical:ubuntu_linux:14.04:*:*:*:lts:*:*:* | |||||
| cpe:2.3:o:canonical:ubuntu_linux:12.04:-:lts:*:*:*:*:* | |||||
| cpe:2.3:o:canonical:ubuntu_linux:10.04:-:lts:*:*:*:*:* | |||||
| Configuration2 | or higher | or less | more than | less than | |
| cpe:2.3:a:djangoproject:django:1.4.12:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:djangoproject:django:1.4.9:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:djangoproject:django:1.4.10:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:djangoproject:django:1.4.6:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:djangoproject:django:1.4.4:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:djangoproject:django:1.4.5:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:djangoproject:django:1.4.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:djangoproject:django:1.4.11:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:djangoproject:django:1.4.7:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:djangoproject:django:1.4.8:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:djangoproject:django:1.4:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:djangoproject:django:1.4.1:*:*:*:*:*:*:* | |||||
| Configuration3 | or higher | or less | more than | less than | |
| cpe:2.3:a:djangoproject:django:1.7:beta1:*:*:*:*:*:* | |||||
| cpe:2.3:a:djangoproject:django:1.7:beta3:*:*:*:*:*:* | |||||
| cpe:2.3:a:djangoproject:django:1.7:beta2:*:*:*:*:*:* | |||||
| Configuration4 | or higher | or less | more than | less than | |
| cpe:2.3:o:opensuse:opensuse:12.3:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:opensuse:opensuse:13.1:*:*:*:*:*:*:* | |||||
| Configuration5 | or higher | or less | more than | less than | |
| cpe:2.3:a:djangoproject:django:1.6:beta4:*:*:*:*:*:* | |||||
| cpe:2.3:a:djangoproject:django:1.6:beta2:*:*:*:*:*:* | |||||
| cpe:2.3:a:djangoproject:django:1.6.3:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:djangoproject:django:1.6.4:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:djangoproject:django:1.6:-:*:*:*:*:*:* | |||||
| cpe:2.3:a:djangoproject:django:1.6.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:djangoproject:django:1.6.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:djangoproject:django:1.6:beta1:*:*:*:*:*:* | |||||
| cpe:2.3:a:djangoproject:django:1.6:beta3:*:*:*:*:*:* | |||||
| Configuration6 | or higher | or less | more than | less than | |
| cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:debian:debian_linux:7.0:*:*:*:*:*:*:* | |||||
| Configuration7 | or higher | or less | more than | less than | |
| cpe:2.3:a:djangoproject:django:1.5:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:djangoproject:django:1.5.7:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:djangoproject:django:1.5.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:djangoproject:django:1.5.3:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:djangoproject:django:1.5.4:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:djangoproject:django:1.5:beta:*:*:*:*:*:* | |||||
| cpe:2.3:a:djangoproject:django:1.5.5:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:djangoproject:django:1.5.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:djangoproject:django:1.5:alpha:*:*:*:*:*:* | |||||
| cpe:2.3:a:djangoproject:django:1.5.6:*:*:*:*:*:*:* | |||||