CVSS: 2.6EPSS: 12%CPEs: 4EXPL: 0CVE-2007-5712
https://notcve.org/view.php?id=CVE-2007-5712
The internationalization (i18n) framework in Django 0.91, 0.95, 0.95.1, and 0.96, and as used in other products such as PyLucid, when the USE_I18N option and the i18n component are enabled, allows remote attackers to cause a denial of service (memory consumption) via many HTTP requests with large Accept-Language headers. El framework de internacionalización (i18n) en Django versiones 0.91, 0.95, 0.95.1 y 0.96, tal y como es usado en otros productos como PyLucid, cuando la opción USE_I18N y el componente i18n están habilitados, permite a atacantes remotos causar una denegación de servicio (consumo de memoria) por medio de muchas peticiones HTTP con encabezados Accept-Language largos. • http://secunia.com/advisories/27435 http://secunia.com/advisories/27597 http://secunia.com/advisories/31961 http://sourceforge.net/forum/forum.php?forum_id=749199 http://www.debian.org/security/2008/dsa-1640 http://www.djangoproject.com/weblog/2007/oct/26/security-fix http://www.securityfocus.com/bid/26227 http://www.vupen.com/english/advisories/2007/3660 http://www.vupen.com/english/advisories/2007/3661 https://exchange.xforce.ibmcloud.com/vulnerabilities/38143 https:// • CWE-399: Resource Management Errors •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2007-0405
https://notcve.org/view.php?id=CVE-2007-0405
The LazyUser class in the AuthenticationMiddleware for Django 0.95 does not properly cache the user name across requests, which allows remote authenticated users to gain the privileges of a different user. La clase LazyUser en la AuthenticationMiddleware para Django versión 0.95, no almacena apropiadamente el nombre de usuario de la caché tras peticiones, lo que permite a usuarios autenticados remoto alcanzar los privilegios de un usuario diferente. • http://code.djangoproject.com/changeset/3754 http://secunia.com/advisories/23826 http://www.securityfocus.com/bid/22138 https://exchange.xforce.ibmcloud.com/vulnerabilities/31628 •
CVSS: 7.5EPSS: 1%CPEs: 1EXPL: 0CVE-2007-0404
https://notcve.org/view.php?id=CVE-2007-0404
bin/compile-messages.py in Django 0.95 does not quote argument strings before invoking the msgfmt program through the os.system function, which allows attackers to execute arbitrary commands via shell metacharacters in a (1) .po or (2) .mo file. bin/compile-messages.py en Django 0.95 no pone comillas a argumentos de cadena antes de invocar a la función msgfmt a través de la función os.system, lo cual permite a atacantes ejecutar comandos de su elección mediante meta caracteres de shell en un fichero (1) .po o (2) .mo. • http://code.djangoproject.com/changeset/3592 http://secunia.com/advisories/23826 http://www.securityfocus.com/bid/22134 https://exchange.xforce.ibmcloud.com/vulnerabilities/31627 •