django-filer 存储型XSS

django-filer 存储型XSS
漏洞类型XSS发现时间2023/7/6漏洞等级中危
MPS编号MPS-umly-9j1tCVE编号漏洞影响广度

漏洞危害

OSCS 描述
django-filer是一款django 的文件和图像管理应用程序。在受影响版本中由于django-filer 未对接收的SVG文件进行安全校验,如果受害者打开攻击者构造的恶意SVG文件,会执行任意js代码。
参考链接:https://www.oscs1024.com/hd/MPS-umly-9j1t

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围处置方式处置方法
django-filer@[0, 2.2.5)更新将组件 django-filer 升级到 2.2.5或更高版本
补丁建议及时更新漏洞补丁,用户也可通过使用 Microsoft Defender for Office 或修改注册表等措施缓解此漏洞,详情请参考官方文档:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36884
参考链接:https://www.oscs1024.com/hd/MPS-umly-9j1t

排查方式

方式1:使用漏洞检测CLI工具来排查
使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查
使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查
使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-umly-9j1t

https://github.com/django-cms/django-filer/pull/1364

(0)
上一篇 2023年8月30日 上午11:59
下一篇 2023年8月30日 上午11:59

相关推荐

  • Node.js child_process.spawn Windows命令注入漏洞 (CVE-2024-27980)

    漏洞类型 参数注入或修改 发现时间 2024-04-11 漏洞等级 严重 MPS编号 MPS-d5b7-omr9 CVE编号 CVE-2024-27980 漏洞影响广度 广 漏洞危害 OSCS 描述 Node.js 是一个基于 Chrome V8 引擎的 JavaScript 运行时环境,用于构建快速、可扩展的网络应用程序。 Windows 的 Create…

    2024年4月12日
    0
  • Uptime Kuma<1.23.3 存在持久用户会话漏洞 (CVE-2023-44400)

    漏洞类型 会话固定 发现时间 2023-10-10 漏洞等级 中危 MPS编号 MPS-p4yv-trm8 CVE编号 CVE-2023-44400 漏洞影响广度 广 漏洞危害 OSCS 描述 Uptime Kuma 是开源的自托管的监控工具。 1.23.3 之前版本中由于未对用户cookie有效清理并且未有效设置过期时间,当用户注销或修改密码后cookie…

    2023年10月10日
    0
  • Apache Zeppelin Shell解释器 命令执行漏洞 (CVE-2024-31861)

    漏洞类型 OS命令注入 发现时间 2024-04-11 漏洞等级 严重 MPS编号 MPS-dxnp-u5h3 CVE编号 CVE-2024-31861 漏洞影响广度 小 漏洞危害 OSCS 描述 Apache Zeppelin是一款基于 Web 可实现交互式数据分析的notebook产品。 Apache Zeppelin 中 sh 解释器类型的 noteb…

    漏洞 2024年4月15日
    0
  • Spring Web UriComponentsBuilder主机名校验不当 (CVE-2024-22262)

    漏洞类型 SSRF 发现时间 2024-04-11 漏洞等级 高危 MPS编号 MPS-on8i-6ldy CVE编号 CVE-2024-22262 漏洞影响广度 一般 漏洞危害 OSCS 描述 Spring Framework 是一个开源的Java应用程序框架,UriComponentsBuilder是Spring Web中用于构建和操作URI的工具类。 …

    漏洞 2024年4月15日
    0
  • Google Chrome Blink 内存越界访问漏洞 (CVE-2024-1669)

    漏洞类型 越界读取 发现时间 2024-02-21 漏洞等级 高危 MPS编号 MPS-e80z-3t4y CVE编号 CVE-2024-1669 漏洞影响广度 广 漏洞危害 OSCS 描述 Google Chrome 是谷歌公司开发的一款Web浏览器,其中使用的Blink作为其渲染引擎。 在受影响的版本中,Blink引擎的Web Neural Networ…

    2024年2月22日
    0