Archive des issues de sécurité

L’équipe de développement de Django s’engage fortement au signalement et à la publication des failles de sécurité, comme expliqué dans politiques de sécurité de Django.

Dans le cadre de cet engagement, nous maintenons la liste historique suivante des problèmes qui ont été corrigés et publiés. Pour chaque problème, la liste ci-dessous contient la date, une brève description, l’identifiant CVE le cas échéant, une liste des versions concernées, un lien vers l’annonce complète et des liens vers les correctifs correspondants.

Quelques mises en garde importantes applicables à ces informations

  • Les listes des versions concernées ne contiennent que les versions de Django ayant un statut de stabilité et de prise en charge des correctifs de sécurité au moment de la publication de ces correctifs. Cela signifie que les anciennes versions (dont la prise en charge de la sécurité a expiré) et les versions dans un état de pré-publication (alpha/beta/RC) au moment de l’annonce pourraient également avoir été touchées, mais n’apparaissent pas dans la liste.

  • Le projet Django a émis de temps à autre des avertissements de sécurité signalant de potentiels problèmes de sécurité pouvant résulter de configurations incorrectes ou de l’utilisation de code externe à Django. Certains de ces avertissements ont reçu un code CVE ; lorsque c’est le cas, ils apparaissent dans cette liste, mais comme ils ne sont pas accompagnés de correctifs ou de publication de code, seules la description, l’annonce et le code CVE sont visibles.

Issues relevant du processus de sécurité de Django

Tous les problèmes de sécurité ont été traités dans le cadre du processus de sécurité de Django. Elles sont listées ci-dessous.

April 2, 2025 - CVE 2025-27556

Potential denial-of-service vulnerability in LoginView, LogoutView, and set_language() on Windows. Full description

March 6, 2025 - CVE 2025-26699

Potential denial-of-service in django.utils.text.wrap(). Full description

January 14, 2025 - CVE 2024-56374

Potential denial-of-service vulnerability in IPv6 validation. Full description

December 4, 2024 - CVE 2024-53907

Potential denial-of-service in django.utils.html.strip_tags(). Full description

December 4, 2024 - CVE 2024-53908

Potential SQL injection in HasKey(lhs, rhs) on Oracle. Full description

September 3, 2024 - CVE 2024-45231

Potential user email enumeration via response status on password reset. Full description

September 3, 2024 - CVE 2024-45230

Potential denial-of-service vulnerability in django.utils.html.urlize(). Full description

6 août 2024 - CVE 2024-42005

Injection SQL potentielle dans QuerySet.values() et values_list(). Description complète

6 août 2024 - CVE 2024-41991

Vulnérabilité potentielle de déni de service dans django.utils.html.urlize() et AdminURLFieldWidget. Description complète

6 août 2024 - CVE 2024-41990

Vulnérabilité potentielle de déni de service dans django.utils.html.urlize(). Description complète

6 août 2024 - CVE 2024-41989

Épuisement de mémoire potentiel dans django.utils.numberformat.floatformat(). Description complète

9 juillet 2024 - CVE 2024-39614

Déni de service potentiel dans django.utils.translation.get_supported_language_variant(). Description complète

9 juillet 2024 - CVE 2024-39330

Traversée de répertoires potentielle dans django.core.files.storage.Storage.save(). Description complète

9 juillet 2024 - CVE 2024-39329

Énumération de noms d’utilisateurs par des différences temporelles avec les utilisateurs sans mot de passe utilisable. Description complète

9 juillet 2024 - CVE 2024-38875

Déni de service potentiel dans django.utils.html.urlize(). Description complète

4 mars 2024 - CVE 2024-27351

Déni de service potentiel d’expression régulière dans django.utils.text.Truncator.words(). Description complète

6 février 2024 - CVE 2024-24680

Déni de service potentiel dans le filtre de gabarit intcomma. Description complète

November 1, 2023 - CVE 2023-46695

Potential denial of service vulnerability in UsernameField on Windows. Full description

October 4, 2023 - CVE 2023-43665

Denial-of-service possibility in django.utils.text.Truncator. Full description

September 4, 2023 - CVE 2023-41164

Potential denial of service vulnerability in django.utils.encoding.uri_to_iri(). Full description

July 3, 2023 - CVE 2023-36053

Potential regular expression denial of service vulnerability in EmailValidator/URLValidator. Full description

May 3, 2023 - CVE 2023-31047

Potential bypass of validation when uploading multiple files using one form field. Full description

February 14, 2023 - CVE 2023-24580

Potential denial-of-service vulnerability in file uploads. Full description

February 1, 2023 - CVE 2023-23969

Potential denial-of-service via Accept-Language headers. Full description

October 4, 2022 - CVE 2022-41323

Potential denial-of-service vulnerability in internationalized URLs. Full description

August 3, 2022 - CVE 2022-36359

Potential reflected file download vulnerability in FileResponse. Full description

July 4, 2022 - CVE 2022-34265

Potential SQL injection via Trunc(kind) and Extract(lookup_name) arguments. Full description

April 11, 2022 - CVE 2022-28346

Potential SQL injection in QuerySet.annotate(), aggregate(), and extra(). Full description

April 11, 2022 - CVE 2022-28347

Potential SQL injection via QuerySet.explain(**options) on PostgreSQL. Full description

February 1, 2022 - CVE 2022-22818

Possible XSS via {% debug %} template tag. Full description

Versions affectées

February 1, 2022 - CVE 2022-23833

Denial-of-service possibility in file uploads. Full description

Versions affectées

January 4, 2022 - CVE 2021-45452

Potential directory-traversal via Storage.save(). Full description

Versions affectées

January 4, 2022 - CVE 2021-45116

Potential information disclosure in dictsort template filter. Full description

Versions affectées

January 4, 2022 - CVE 2021-45115

Denial-of-service possibility in UserAttributeSimilarityValidator. Full description

Versions affectées

December 7, 2021 - CVE 2021-44420

Potential bypass of an upstream access control based on URL paths. Full description

Versions affectées

July 1, 2021 - CVE 2021-35042

Potential SQL injection via unsanitized QuerySet.order_by() input. Full description

Versions affectées

June 2, 2021 - CVE 2021-33203

Potential directory traversal via admindocs. Full description

Versions affectées

June 2, 2021 - CVE 2021-33571

Possible indeterminate SSRF, RFI, and LFI attacks since validators accepted leading zeros in IPv4 addresses. Full description

Versions affectées

May 6, 2021 - CVE 2021-32052

Possibilité d’injection dans les en-têtes depuis que URLValidator accepte des retours à la ligne en entrée avec Python 3.9.5+. Description complète

Versions affectées

4 mai 2021 - CVE 2021-31542

Traversée de répertoires potentielle au moyen de fichiers téléversés. Description complète

Versions affectées

6 avril 2021 - CVE 2021-28658

Traversée de répertoires potentielle au moyen de fichiers téléversés. Description complète

Versions affectées

19 février 2021 - CVE 2021-23336

Empoisonnement de cache Web via django.utils.http.limited_parse_qsl(). Description complète

Versions affectées

1er février 2021 - CVE 2021-3281

Traversée de répertoires potentielle au moyen de archive.extract(). Description complète

Versions affectées

1er septembre 2020 - CVE 2020-24584

Élévation de privilèges dans des répertoires de niveau intermédiaire du cache sur système de fichiers avec Python 3.7+. Description complète

Versions affectées

1er septembre 2020 - CVE 2020-24583

Permissions incorrectes sur des répertoires de niveau intermédiaire avec Python 3.7+. Description complète

Versions affectées

3 juin 2020 - CVE 2020-13596

XSS potentiel via ForeignKeyRawIdWidget de l’admin. Description complète

Versions affectées

3 juin 2020 - CVE 2020-13254

Fuite de données potentielle via des clés memcached mal formées. Description complète

Versions affectées

March 4, 2020 - CVE 2020-9402

Potential SQL injection via tolerance parameter in GIS functions and aggregates on Oracle. Full description

Versions affectées

February 3, 2020 - CVE 2020-7471

Potential SQL injection via StringAgg(delimiter). Full description

Versions affectées

December 18, 2019 - CVE 2019-19844

Potential account hijack via password reset form. Full description

Versions affectées

December 2, 2019 - CVE 2019-19118

Privilege escalation in the Django admin. Full description

Versions affectées

August 1, 2019 - CVE 2019-14235

Potential memory exhaustion in django.utils.encoding.uri_to_iri(). Full description

Versions affectées

August 1, 2019 - CVE 2019-14234

SQL injection possibility in key and index lookups for JSONField/HStoreField. Full description

Versions affectées

August 1, 2019 - CVE 2019-14233

Denial-of-service possibility in strip_tags(). Full description

Versions affectées

August 1, 2019 - CVE 2019-14232

Denial-of-service possibility in django.utils.text.Truncator. Full description

Versions affectées

July 1, 2019 - CVE 2019-12781

Incorrect HTTP detection with reverse-proxy connecting via HTTPS. Full description

Versions affectées

June 3, 2019 - CVE 2019-12308

XSS via « Current URL » link generated by AdminURLFieldWidget. Full description

Versions affectées

June 3, 2019 - CVE 2019-11358

Prototype pollution in bundled jQuery. Full description

Versions affectées

11 février 2019 - CVE 2019-6975

Épuisement de mémoire dans django.utils.numberformat.format(). Description complète

Versions affectées

4 janvier 2019 - CVE 2019-3498

Possibilité de mystification de contenu dans la page 404 par défaut. Description complète

Versions affectées

1er octobre 2018 - CVE 2018-16984

Révélation de l’empreinte de mots de passe pour les utilisateurs du site d’administration en « lecture seule ». Description complète

Versions affectées

1er août 2018 - CVE 2018-14574

Possibilité de redirection ouverte dans CommonMiddleware. Description complète

Versions affectées

6 mars 2018 - CVE 2018-7537

Possibilité de déni de service dans les filtres de gabarit truncatechars_html et truncatewords_html. Description complète

Versions affectées

6 mars 2018 - CVE 2018-7536

Possibilité de déni de service dans les filtres de gabarit urlize et urlizetrunc. Description complète

Versions affectées

1er février 2018 - CVE 2018-6188

Fuite d’informations dans le formulaire AuthenticationForm. Description complète

Versions affectées

5 septembre 2017 - CVE 2017-12794

Attaque XSS possible dans la section « traceback » de la page de débogage technique 500. Description complète

Versions affectées

4 avril 2017 - CVE 2017-7234

Vulnérabilité de redirection ouverte dans django.views.static.serve(). Description complète

Versions affectées

4 avril 2017 - CVE 2017-7233

Redirection ouverte et attaque XSS possible par des URL de redirection numériques fournis par des utilisateurs. Description complète

Versions affectées

1er novembre 2016 - CVE 2016-9014

Vulnérabilité de re-liaison DNS avec DEBUG=True. Description complète

Versions affectées

1er novembre 2016 - CVE 2016-9013

Utilisateur avec mot de passe créé en dur lors du lancement des tests avec Oracle. Description complète

Versions affectées

26 septembre 2016 - CVE 2016-7401

Contournement de protection CSRF pour un site avec Google Analytics. Description complète

Versions affectées

18 juillet 2016 - CVE 2016-6186

XSS dans les fenêtres d’ajout/modification d’éléments liés. Description complète

Versions affectées

March 1, 2016 - CVE 2016-2513

User enumeration through timing difference on password hasher work factor upgrade. Full description

Versions affectées

1 mars 2016 - CVE 2016-2512

Redirection malicieuse et attaque XSS possible via des URL de redirection fournis par l’utilisateur et contenant de l’authentification basique. Description complète

Versions affectées

1 février 2016 - CVE 2016-2048

User with « change » but not « add » permission can create objects for ModelAdmin’s with save_as=True. Full description

Versions affectées

24 novembre 2015 - CVE 2015-8213

Settings leak possibility in date template filter. Full description

Versions affectées

18 août 2015 - CVE 2015-5963 / CVE 2015-5964

Denial-of-service possibility in logout() view by filling session store. Full description

Versions affectées

8 juillet 2015 - CVE 2015-5145

Denial-of-service possibility in URL validation. Full description

Versions affectées

8 juillet 2015 - CVE 2015-5144

Possibilité d’injection dans les en-têtes depuis que les validateurs acceptent des retours à ligne en entrée. Description complète

Versions affectées

8 juillet 2015 - CVE 2015-5143

Denial-of-service possibility by filling session store. Full description

Versions affectées

20 mai 2015 - CVE 2015-3982

Fixed session flushing in the cached_db backend. Full description

Versions affectées

18 mars 2015 - CVE 2015-2317

Attaque XSS atténuée possible via des URL de redirection fournis par l’utilisateur. Description complète

Versions affectées

18 mars 2015 - CVE 2015-2316

Possibilité de déni de service avec strip_tags(). Description complète

Versions affectées

March 9, 2015 - CVE 2015-2241

XSS attack via properties in ModelAdmin.readonly_fields. Full description

Versions affectées

January 13, 2015 - CVE 2015-0222

Database denial-of-service with ModelMultipleChoiceField. Full description

Versions affectées

January 13, 2015 - CVE 2015-0221

Denial-of-service attack against django.views.static.serve(). Full description

Versions affectées

January 13, 2015 - CVE 2015-0220

Mitigated possible XSS attack via user-supplied redirect URLs. Full description

Versions affectées

January 13, 2015 - CVE 2015-0219

WSGI header spoofing via underscore/dash conflation. Full description

Versions affectées

August 20, 2014 - CVE 2014-0483

Data leakage via querystring manipulation in admin. Full description

Versions affectées

August 20, 2014 - CVE 2014-0482

RemoteUserMiddleware session hijacking. Full description

Versions affectées

August 20, 2014 - CVE 2014-0481

File upload denial of service. Full description

Versions affectées

August 20, 2014 - CVE 2014-0480

reverse() can generate URLs pointing to other hosts. Full description

Versions affectées

May 18, 2014 - CVE 2014-3730

Malformed URLs from user input incorrectly validated. Full description

Versions affectées

May 18, 2014 - CVE 2014-1418

Caches may be allowed to store and serve private data. Full description

Versions affectées

April 21, 2014 - CVE 2014-0474

MySQL typecasting causes unexpected query results. Full description

Versions affectées

April 21, 2014 - CVE 2014-0473

Caching of anonymous pages could reveal CSRF token. Full description

Versions affectées

April 21, 2014 - CVE 2014-0472

Unexpected code execution using reverse(). Full description

Versions affectées

September 14, 2013 - CVE 2013-1443

Denial-of-service via large passwords. Full description

Versions affectées

September 10, 2013 - CVE 2013-4315

Directory-traversal via ssi template tag. Full description

Versions affectées

August 13, 2013 - CVE 2013-6044

Possible XSS via unvalidated URL redirect schemes. Full description

Versions affectées

August 13, 2013 - CVE 2013-4249

XSS via admin trusting URLField values. Full description

Versions affectées

February 19, 2013 - CVE 2013-0306

Denial-of-service via formset max_num bypass. Full description

Versions affectées

February 19, 2013 - CVE 2013-0305

Information leakage via admin history log. Full description

Versions affectées

February 19, 2013 - CVE 2013-1664 / CVE 2013-1665

Entity-based attacks against Python XML libraries. Full description

Versions affectées

19 février 2013 - Pas de CVE

Additional hardening of Host header handling. Full description

Versions affectées

10 Décembre 2012 - Pas de CVE 2

Additional hardening of redirect validation. Full description

Versions affectées

10 décembre 2012 - Pas de CVE 1

Additional hardening of Host header handling. Full description

Versions affectées

October 17, 2012 - CVE 2012-4520

Host header poisoning. Full description

Versions affectées

July 30, 2012 - CVE 2012-3444

Denial-of-service via large image files. Full description

Versions affectées

July 30, 2012 - CVE 2012-3443

Denial-of-service via compressed image files. Full description

Versions affectées

July 30, 2012 - CVE 2012-3442

XSS via failure to validate redirect scheme. Full description

Versions affectées

September 9, 2011 - CVE 2011-4140

Potential CSRF via Host header. Full description

Versions affectées

This notification was an advisory only, so no patches were issued.

  • Django 1.2

  • Django 1.3

September 9, 2011 - CVE 2011-4139

Host header cache poisoning. Full description

Versions affectées

September 9, 2011 - CVE 2011-4138

Information leakage/arbitrary request issuance via URLField.verify_exists. Full description

Versions affectées

September 9, 2011 - CVE 2011-4137

Denial-of-service via URLField.verify_exists. Full description

Versions affectées

September 9, 2011 - CVE 2011-4136

Session manipulation when using memory-cache-backed session. Full description

Versions affectées

February 8, 2011 - CVE 2011-0698

Directory-traversal on Windows via incorrect path-separator handling. Full description

Versions affectées

February 8, 2011 - CVE 2011-0697

XSS via unsanitized names of uploaded files. Full description

Versions affectées

February 8, 2011 - CVE 2011-0696

CSRF via forged HTTP headers. Full description

Versions affectées

December 22, 2010 - CVE 2010-4535

Denial-of-service in password-reset mechanism. Full description

Versions affectées

December 22, 2010 - CVE 2010-4534

Information leakage in administrative interface. Full description

Versions affectées

September 8, 2010 - CVE 2010-3082

XSS via trusting unsafe cookie value. Full description

Versions affectées

October 9, 2009 - CVE 2009-3695

Denial-of-service via pathological regular expression performance. Full description

Versions affectées

July 28, 2009 - CVE 2009-2659

Directory-traversal in development server media handler. Full description

Versions affectées

September 2, 2008 - CVE 2008-3909

CSRF via preservation of POST data during admin login. Full description

Versions affectées

May 14, 2008 - CVE 2008-2302

XSS via admin login redirect. Full description

Versions affectées

October 26, 2007 - CVE 2007-5712

Denial-of-service via arbitrarily-large Accept-Language header. Full description

Versions affectées

Problèmes précédant le processus de sécurité de Django

Certains problèmes de sécurité ont été gérés avant que Django possède un processus de sécurité formel. Pour ceux-ci, il se peut qu’il n’y ait pas eu de nouvelles publications de Django et qu’aucun code CVE n’ait été demandé.

21 janvier 2007 - CVE 2007-0405

Mise en cache apparent de l’utilisateur authentifié. Description complète

Versions affectées

16 août 2006 - CVE 2007-0404

Problème de validation de nom de fichier dans l’infrastructure des traductions. Description complète

Versions affectées