2024年7月12日,网上更新披露了一个Django安全漏洞(CVE-2024-39330),Django 是Python编写的开源Web应用框架,generate_filename 方法是 django.core.files.storage.Storage 类中用于生成文件名的方法,请各位用户尽快安装漏洞补丁。
漏洞风险:受影响版本中,如果开发者重写 django.core.files.storage.Storage 的 generate_filename 方法时未对文件名进行校验则会导致路径遍历漏洞。攻击者可利用该漏洞构造恶意的文件名(如:../),当目标系统调用 save() 方法保存文件时可读取或修改系统上的敏感文件。
风险等级:高风险。
影响范围:
python-django@(-∞, 4.2.14-1)
django@[4.2, 4.2.14)
django@[5.0, 5.0.7)
修复建议:
目前官方已有可更新版本,建议受影响用户升级至最新版本。
进行安全更新方法:
https://launchpad.net/ubuntu/+source/python-django
