Page 3 of 29 results (0.008 seconds)

CVSS: 4.3EPSS: 0%CPEs: 53EXPL: 0

The utils.http.is_safe_url function in Django before 1.4.20, 1.5.x, 1.6.x before 1.6.11, 1.7.x before 1.7.7, and 1.8.x before 1.8c1 does not properly validate URLs, which allows remote attackers to conduct cross-site scripting (XSS) attacks via a control character in a URL, as demonstrated by a \x08javascript: URL. La función utils.http.is_safe_url en Django anterior a 1.4.20, 1.5.x, 1.6.x anterior a 1.6.11, 1.7.x anterior a 1.7.7, y 1.8.x anterior a 1.8c1 no valida correctamente las URLs, lo que permite a atacantes remotos realizar ataques de XSS a través de un caracter de control en una URL, tal y como fue demostrado por una URL \x08javascript. • http://lists.fedoraproject.org/pipermail/package-announce/2015-April/155421.html http://lists.fedoraproject.org/pipermail/package-announce/2015-June/160263.html http://lists.opensuse.org/opensuse-updates/2015-04/msg00001.html http://lists.opensuse.org/opensuse-updates/2015-09/msg00035.html http://ubuntu.com/usn/usn-2539-1 http://www.debian.org/security/2015/dsa-3204 http://www.mandriva.com/security/advisories?name=MDVSA-2015:195 http://www.oracle.com/technetwork/topics/security/bulletinapr2015& • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 4.3EPSS: 0%CPEs: 2EXPL: 1

Cross-site scripting (XSS) vulnerability in the contents function in admin/helpers.py in Django before 1.7.6 and 1.8 before 1.8b2 allows remote attackers to inject arbitrary web script or HTML via a model attribute in ModelAdmin.readonly_fields, as demonstrated by a @property. Vulnerabilidad de XSS en la función de contenidos en admin/helpers.py en Django anterior a 1.7.6 y 1.8 anterior a 1.8b2 permite a atacantes remotos inyectar secuencias de comandos web arbitrarios o HTML a través de un atributo de modelo en ModelAdmin.readonly_fields, tal y como fue demostrado por un @property. • http://www.mandriva.com/security/advisories?name=MDVSA-2015:109 http://www.securityfocus.com/bid/73095 https://code.djangoproject.com/ticket/24461 https://www.djangoproject.com/weblog/2015/mar/09/security-releases • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 5.0EPSS: 10%CPEs: 18EXPL: 1

The django.views.static.serve view in Django before 1.4.18, 1.6.x before 1.6.10, and 1.7.x before 1.7.3 reads files an entire line at a time, which allows remote attackers to cause a denial of service (memory consumption) via a long line in a file. La visualización django.views.static.serve en Django anterior a 1.4.18, 1.6.x anterior a 1.6.10, y 1.7.x anterior a 1.7.3 lee ficheros por líneas enteras, lo que permite a atacantes remotos causar una denegación de servicio (consumo de memoria) a través de una línea larga en un fichero. • http://advisories.mageia.org/MGASA-2015-0026.html http://lists.fedoraproject.org/pipermail/package-announce/2015-January/148485.html http://lists.fedoraproject.org/pipermail/package-announce/2015-January/148608.html http://lists.fedoraproject.org/pipermail/package-announce/2015-January/148696.html http://lists.opensuse.org/opensuse-updates/2015-04/msg00001.html http://lists.opensuse.org/opensuse-updates/2015-09/msg00035.html http://secunia.com/advisories/62285 http://secunia.com/advisories/62309 http:&#x • CWE-399: Resource Management Errors •

CVSS: 5.0EPSS: 0%CPEs: 14EXPL: 1

Django before 1.4.18, 1.6.x before 1.6.10, and 1.7.x before 1.7.3 allows remote attackers to spoof WSGI headers by using an _ (underscore) character instead of a - (dash) character in an HTTP header, as demonstrated by an X-Auth_User header. Django anterior a 1.4.18, 1.6.x anterior a 1.6.10, y 1.7.x anterior a 1.7.3 permite a atacantes remotos falsificar cabeceras WSGI mediante el uso de un caracter _ (guión bajo) en lugar de un caracter - (guión) en una cabecera HTTP, tal y como fue demostrado por una cabecera X-Auth_User. • http://advisories.mageia.org/MGASA-2015-0026.html http://lists.fedoraproject.org/pipermail/package-announce/2015-January/148485.html http://lists.fedoraproject.org/pipermail/package-announce/2015-January/148608.html http://lists.fedoraproject.org/pipermail/package-announce/2015-January/148696.html http://lists.opensuse.org/opensuse-updates/2015-04/msg00001.html http://lists.opensuse.org/opensuse-updates/2015-09/msg00035.html http://secunia.com/advisories/62285 http://secunia.com/advisories/62309 http:&#x • CWE-17: DEPRECATED: Code •

CVSS: 4.3EPSS: 0%CPEs: 18EXPL: 1

The django.util.http.is_safe_url function in Django before 1.4.18, 1.6.x before 1.6.10, and 1.7.x before 1.7.3 does not properly handle leading whitespaces, which allows remote attackers to conduct cross-site scripting (XSS) attacks via a crafted URL, related to redirect URLs, as demonstrated by a "\njavascript:" URL. La función django.util.http.is_safe_url en Django anterior a 1.4.18, 1.6.x anterior a 1.6.10, y 1.7.x anterior a 1.7.3 no maneja correctamente los espacios en blanco líder, lo que permite a atacantes remotos realizar ataques de XSS a través de una URL manipulada, relacionado con redirigir URLs, tal y como fue demostrado por una URL '\njavascript:'. • http://advisories.mageia.org/MGASA-2015-0026.html http://lists.fedoraproject.org/pipermail/package-announce/2015-January/148485.html http://lists.fedoraproject.org/pipermail/package-announce/2015-January/148608.html http://lists.opensuse.org/opensuse-updates/2015-04/msg00001.html http://lists.opensuse.org/opensuse-updates/2015-09/msg00035.html http://secunia.com/advisories/62285 http://secunia.com/advisories/62309 http://secunia.com/advisories/62718 http://ubuntu.com/usn/usn-2469-1 http:&#x • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •