CVSS: 5.0EPSS: 0%CPEs: 2EXPL: 0CVE-2015-3982
https://notcve.org/view.php?id=CVE-2015-3982
The session.flush function in the cached_db backend in Django 1.8.x before 1.8.2 does not properly flush the session, which allows remote attackers to hijack user sessions via an empty string in the session key. La función session.flush en el backend cached_db en Django 1.8.x anterior a 1.8.2 no vacía correctamente la sesión, lo que permite a atacantes remotos secuestrar las sesiones de usuarios a través de una cadena vacía en la clave de la sesión. • http://www.securityfocus.com/bid/74960 https://www.djangoproject.com/weblog/2015/may/20/security-release •
CVSS: 5.0EPSS: 1%CPEs: 36EXPL: 0CVE-2015-2316
https://notcve.org/view.php?id=CVE-2015-2316
The utils.html.strip_tags function in Django 1.6.x before 1.6.11, 1.7.x before 1.7.7, and 1.8.x before 1.8c1, when using certain versions of Python, allows remote attackers to cause a denial of service (infinite loop) by increasing the length of the input string. La función utils.html.strip_tags en Django 1.6.x anterior a 1.6.11, 1.7.x anterior a 1.7.7, y 1.8.x anterior a 1.8c1, cuando utiliza ciertos versiones de Python, permite a atacantes remotos causar una denegación de servicio (bucle infinito) mediante el incremento de la longitud de la cadena de entradas. • http://lists.fedoraproject.org/pipermail/package-announce/2015-April/155421.html http://lists.opensuse.org/opensuse-updates/2015-04/msg00001.html http://www.oracle.com/technetwork/topics/security/bulletinapr2015-2511959.html http://www.securityfocus.com/bid/73322 http://www.ubuntu.com/usn/USN-2539-1 https://www.djangoproject.com/weblog/2015/mar/18/security-releases • CWE-399: Resource Management Errors •
CVSS: 4.3EPSS: 0%CPEs: 53EXPL: 0CVE-2015-2317
https://notcve.org/view.php?id=CVE-2015-2317
The utils.http.is_safe_url function in Django before 1.4.20, 1.5.x, 1.6.x before 1.6.11, 1.7.x before 1.7.7, and 1.8.x before 1.8c1 does not properly validate URLs, which allows remote attackers to conduct cross-site scripting (XSS) attacks via a control character in a URL, as demonstrated by a \x08javascript: URL. La función utils.http.is_safe_url en Django anterior a 1.4.20, 1.5.x, 1.6.x anterior a 1.6.11, 1.7.x anterior a 1.7.7, y 1.8.x anterior a 1.8c1 no valida correctamente las URLs, lo que permite a atacantes remotos realizar ataques de XSS a través de un caracter de control en una URL, tal y como fue demostrado por una URL \x08javascript. • http://lists.fedoraproject.org/pipermail/package-announce/2015-April/155421.html http://lists.fedoraproject.org/pipermail/package-announce/2015-June/160263.html http://lists.opensuse.org/opensuse-updates/2015-04/msg00001.html http://lists.opensuse.org/opensuse-updates/2015-09/msg00035.html http://ubuntu.com/usn/usn-2539-1 http://www.debian.org/security/2015/dsa-3204 http://www.mandriva.com/security/advisories?name=MDVSA-2015:195 http://www.oracle.com/technetwork/topics/security/bulletinapr2015& • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.3EPSS: 0%CPEs: 2EXPL: 1CVE-2015-2241
https://notcve.org/view.php?id=CVE-2015-2241
Cross-site scripting (XSS) vulnerability in the contents function in admin/helpers.py in Django before 1.7.6 and 1.8 before 1.8b2 allows remote attackers to inject arbitrary web script or HTML via a model attribute in ModelAdmin.readonly_fields, as demonstrated by a @property. Vulnerabilidad de XSS en la función de contenidos en admin/helpers.py en Django anterior a 1.7.6 y 1.8 anterior a 1.8b2 permite a atacantes remotos inyectar secuencias de comandos web arbitrarios o HTML a través de un atributo de modelo en ModelAdmin.readonly_fields, tal y como fue demostrado por un @property. • http://www.mandriva.com/security/advisories?name=MDVSA-2015:109 http://www.securityfocus.com/bid/73095 https://code.djangoproject.com/ticket/24461 https://www.djangoproject.com/weblog/2015/mar/09/security-releases • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.0EPSS: 10%CPEs: 18EXPL: 1CVE-2015-0221
https://notcve.org/view.php?id=CVE-2015-0221
The django.views.static.serve view in Django before 1.4.18, 1.6.x before 1.6.10, and 1.7.x before 1.7.3 reads files an entire line at a time, which allows remote attackers to cause a denial of service (memory consumption) via a long line in a file. La visualización django.views.static.serve en Django anterior a 1.4.18, 1.6.x anterior a 1.6.10, y 1.7.x anterior a 1.7.3 lee ficheros por líneas enteras, lo que permite a atacantes remotos causar una denegación de servicio (consumo de memoria) a través de una línea larga en un fichero. • http://advisories.mageia.org/MGASA-2015-0026.html http://lists.fedoraproject.org/pipermail/package-announce/2015-January/148485.html http://lists.fedoraproject.org/pipermail/package-announce/2015-January/148608.html http://lists.fedoraproject.org/pipermail/package-announce/2015-January/148696.html http://lists.opensuse.org/opensuse-updates/2015-04/msg00001.html http://lists.opensuse.org/opensuse-updates/2015-09/msg00035.html http://secunia.com/advisories/62285 http://secunia.com/advisories/62309 http:&#x • CWE-399: Resource Management Errors •