CVSS: 9.8EPSS: 1%CPEs: 1EXPL: 1CVE-2019-13177
https://notcve.org/view.php?id=CVE-2019-13177
verification.py in django-rest-registration (aka Django REST Registration library) before 0.5.0 relies on a static string for signatures (i.e., the Django Signing API is misused), which allows remote attackers to spoof the verification process. This occurs because incorrect code refactoring led to calling a security-critical function with an incorrect argument. El archivo verification.py en django-rest-registration (también conocida como biblioteca de registro REST de Django) anterior a la versión 0.5.0 consiste en una cadena estática para firmas (es decir, la API de firma de Django es usada inapropiadamente), lo que permite a los atacantes remotos suplantar el proceso de comprobación. Esto ocurre porque la refactorización del código incorrecta conllevó a llamar a una función crítica de seguridad con un argumento incorrecto. • https://github.com/apragacz/django-rest-registration/releases/tag/0.5.0 https://github.com/apragacz/django-rest-registration/security/advisories/GHSA-p3w6-jcg4-52xh • CWE-347: Improper Verification of Cryptographic Signature •
CVSS: 7.4EPSS: 0%CPEs: 1EXPL: 0CVE-2018-1000089
https://notcve.org/view.php?id=CVE-2018-1000089
Anymail django-anymail version version 0.2 through 1.3 contains a CWE-532, CWE-209 vulnerability in WEBHOOK_AUTHORIZATION setting value that can result in An attacker with access to error logs could fabricate email tracking events. This attack appear to be exploitable via If you have exposed your Django error reports, an attacker could discover your ANYMAIL_WEBHOOK setting and use this to post fabricated or malicious Anymail tracking/inbound events to your app. This vulnerability appears to have been fixed in v1.4. Anymail django-anymail, de la versión 0.2 a la 1.3, contiene una vulnerabilidad de CWE-532 y CWE-209 en el valor de opción WEBHOOK_AUTHORIZATION que puede resultar en que un atacante con acceso a los registros de error fabrique eventos de rastreo de email. Si los informes de error de Django están expuestos, un atacante podría descubrir su opción ANYMAIL_WEBHOOK y emplearlo para publicar eventos fabricados o maliciosos tracking/inbound de Anymail a una app. • https://github.com/anymail/django-anymail/commit/1a6086f2b58478d71f89bf27eb034ed81aefe5ef https://github.com/anymail/django-anymail/releases/tag/v1.4 • CWE-532: Insertion of Sensitive Information into Log File •
CVSS: 9.1EPSS: 0%CPEs: 2EXPL: 0CVE-2018-6596
https://notcve.org/view.php?id=CVE-2018-6596
webhooks/base.py in Anymail (aka django-anymail) before 1.2.1 is prone to a timing attack vulnerability on the WEBHOOK_AUTHORIZATION secret, which allows remote attackers to post arbitrary e-mail tracking events. webhooks/base.py en Anymail (también conocido como django-anymail), en versiones anteriores a la 1.2.1, es propenso a una vulnerabilidad de ataque de sincronización en el secreto WEBHOOK_AUTHORIZATION, que permite que los atacantes remotos publiquen eventos de seguimiento de email. • https://bugs.debian.org/889450 https://github.com/anymail/django-anymail/commit/c07998304b4a31df4c61deddcb03d3607a04691b https://github.com/anymail/django-anymail/commit/db586ede1fbb41dce21310ea28ae15a1cf1286c5 https://github.com/anymail/django-anymail/releases/tag/v1.2.1 https://github.com/anymail/django-anymail/releases/tag/v1.3 https://www.debian.org/security/2018/dsa-4107 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 9.8EPSS: 1%CPEs: 1EXPL: 2CVE-2017-16764
https://notcve.org/view.php?id=CVE-2017-16764
An exploitable vulnerability exists in the YAML parsing functionality in the read_yaml_file method in io_utils.py in django_make_app 0.1.3. A YAML parser can execute arbitrary Python commands resulting in command execution. An attacker can insert Python into loaded YAML to trigger this vulnerability. Existe una vulnerabilidad explotable en la funcionalidad de análisis sintáctico de YAML en el método read_yaml_file en io_utils.py en django_make_app 0.1.3. Un analizador sintáctico YAML puede ejecutar comandos python arbitrarios, lo que resulta en la ejecución de comandos. • https://github.com/illagrenan/django-make-app/issues/5 https://joel-malwarebenchmark.github.io/blog/2017/11/12/cve-2017-16764-vulnerability-in-django-make-app •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2017-6591
https://notcve.org/view.php?id=CVE-2017-6591
There is a cross-site scripting vulnerability in django-epiceditor 0.2.3 via crafted content in a form field. Hay una vulnerabilidad de XSS en django-epiceditor 0.2.3 a través de contenido manipulado en un campo de formulario. • http://morningchen.com/2017/03/09/Cross-site-scripting-vulnerability-in-django-epiceditor http://www.securityfocus.com/bid/96946 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •