Arkiv över säkerhetsfrågor

Djangos utvecklingsteam är starkt engagerade i ansvarsfull rapportering och avslöjande av säkerhetsrelaterade frågor, enligt vad som beskrivs i Djangos säkerhetspolicy.

Som en del av detta åtagande upprätthåller vi följande historiska lista över problem som har åtgärdats och offentliggjorts. För varje problem innehåller listan nedan datum, en kort beskrivning, CVE-identifieraren om tillämpligt, en lista över berörda versioner, en länk till den fullständiga informationen och länkar till lämpliga korrigeringar.

Några viktiga förbehåll gäller för denna information:

  • Listor över berörda versioner innehåller endast de versioner av Django som hade stabila, säkerhetsstödda utgåvor vid tidpunkten för avslöjandet. Detta innebär att äldre versioner (vars säkerhetsstöd hade löpt ut) och versioner som var i förversion (alfa/beta/RC) vid tidpunkten för avslöjandet kan ha påverkats, men är inte listade.

  • Djangoprojektet har ibland utfärdat säkerhetsmeddelanden som pekar på potentiella säkerhetsproblem som kan uppstå på grund av felaktig konfiguration eller andra problem utanför Django självt. Vissa av dessa råd har fått CVE:er; när så är fallet listas de här, men eftersom de inte har några medföljande korrigeringar eller utgåvor kommer endast beskrivningen, avslöjandet och CVE att listas.

Problem under Djangos säkerhetsprocess

Alla säkerhetsfrågor har hanterats under versioner av Djangos säkerhetsprocess. Dessa är listade nedan.

4 juni 2025 - CVE 2025-48432

Potentiell logginjektion via oavkortad sökväg. Fullständig beskrivning

Det fanns en ytterligare härdning med nya patchversioner som publicerades den 10 juni 2025. fullständig beskrivning <https://www.djangoproject.com/weblog/2025/jun/10/bugfix-releases/>`__

7 maj 2025 - CVE 2025-32873

Möjligheten till överbelastningsattack i strip_tags(). Fullständig beskrivning

2 april 2025 - CVE 2025-27556`

Potentiell sårbarhet för överbelastningsattacker i LoginView, LogoutView och set_language() i Windows. Fullständig beskrivning

6 mars 2025 - CVE 2025-26699`

Potentiell förnekande av tjänst i django.utils.text.wrap(). Fullständig beskrivning

14 januari 2025 - CVE 2024-56374

Potentiell sårbarhet för överbelastningsattack i IPv6-validering. fullständig beskrivning <https://www.djangoproject.com/weblog/2025/jan/14/security-releases/>`__

4 december 2024 - CVE 2024-53907

Potentiellt övergrepp i tjänsten i django.utils.html.strip_tags(). Fullständig beskrivning

4 december 2024 - CVE 2024-53908

Potentiell SQL-injektion i HasKey(lhs, rhs) på Oracle. fullständig beskrivning <https://www.djangoproject.com/weblog/2024/dec/04/security-releases/>`__

Den 3 september 2024 - CVE 2024-45231

Uppräkning av potentiella användares e-postadresser via svarsstatus vid återställning av lösenord. fullständig beskrivning <https://www.djangoproject.com/weblog/2024/sep/03/security-releases/>`__

3 september 2024 - CVE 2024-45230`

Potentiell sårbarhet för överbelastningsattack i django.utils.html.urlize(). fullständig beskrivning <https://www.djangoproject.com/weblog/2024/sep/03/security-releases/>`__

6 augusti 2024 - CVE 2024-42005`

Potentiell SQL-injektion i QuerySet.values() och values_list(). fullständig beskrivning <https://www.djangoproject.com/weblog/2024/aug/06/security-releases/>`__

6 augusti 2024 - CVE 2024-41991

Potentiell sårbarhet för övergrepp i tjänsten i django.utils.html.urlize() och AdminURLFieldWidget. fullständig beskrivning <https://www.djangoproject.com/weblog/2024/aug/06/security-releases/>`__

6 augusti 2024 - CVE 2024-41990`

Potentiell sårbarhet för överbelastningsattack i django.utils.html.urlize(). fullständig beskrivning <https://www.djangoproject.com/weblog/2024/aug/06/security-releases/>`__

6 augusti 2024 - CVE 2024-41989

Potentiell minnesutmattning i django.utils.numberformat.floatformat(). Fullständig beskrivning

9 juli 2024 - CVE 2024-39614`

Potentiell förnekande av tjänst i django.utils.translation.get_supported_language_variant(). Fullständig beskrivning

9 juli 2024 - CVE 2024-39330`

Potentiell katalogövergång i django.core.files.storage.Storage.save(). Fullständig beskrivning

9 juli 2024 - CVE 2024-39329`

Uppräkning av användarnamn med hjälp av tidsskillnad för användare med oanvändbara lösenord. fullständig beskrivning <https://www.djangoproject.com/weblog/2024/jul/09/security-releases/>`__

9 juli 2024 - CVE 2024-38875`

Potentiell förnekande av tjänst i django.utils.html.urlize(). Fullständig beskrivning

4 mars 2024 - CVE 2024-27351

Potentiell förnekande av tjänst genom reguljära uttryck i django.utils.text.Truncator.words(). Fullständig beskrivning

6 februari 2024 - CVE 2024-24680`

Potentiellt övergrepp i intcomma mallfilter. Fullständig beskrivning

1 november 2023 - CVE 2023-46695`

Potentiell sårbarhet för förnekande av tjänst i UsernameField på Windows. fullständig beskrivning <https://www.djangoproject.com/weblog/2023/nov/01/security-releases/>`__

4 oktober 2023 - CVE 2023-43665`

Denial-of-service-möjlighet i django.utils.text.Truncator. Fullständig beskrivning

4 september 2023 - CVE 2023-41164`

Potentiell sårbarhet för förnekande av tjänst i django.utils.encoding.uri_to_iri(). Fullständig beskrivning

3 juli 2023 - CVE 2023-36053`

Potentiell sårbarhet för förnekande av tjänst genom reguljära uttryck i EmailValidator/URLValidator`. fullständig beskrivning <https://www.djangoproject.com/weblog/2023/jul/03/security-releases/>`__

3 maj 2023 - CVE 2023-31047

Potentiell förbikoppling av validering när flera filer laddas upp med ett formulärfält. Fullständig beskrivning

14 februari 2023 - CVE 2023-24580`

Potentiell sårbarhet för överbelastningsskador i filuppladdningar. fullständig beskrivning <https://www.djangoproject.com/weblog/2023/feb/14/security-releases/>`__

1 februari 2023 - CVE 2023-23969`

Potentiell överbelastningsattack via Accept-Language-rubriker. Fullständig beskrivning

4 oktober 2022 - CVE 2022-41323

Potentiell sårbarhet för överbelastningsattacker i internationaliserade webbadresser. fullständig beskrivning <https://www.djangoproject.com/weblog/2022/oct/04/security-releases/>`__

3 augusti 2022 - CVE 2022-36359

Potentiell sårbarhet vid nedladdning av reflekterade filer i FileResponse. fullständig beskrivning <https://www.djangoproject.com/weblog/2022/aug/03/security-releases/>`__

4 juli 2022 - CVE 2022-34265`

Potentiell SQL-injektion via argumenten Trunc(kind) och Extract(lookup_name). fullständig beskrivning <https://www.djangoproject.com/weblog/2022/jul/04/security-releases/>`__

11 april 2022 - CVE 2022-28346

Potentiell SQL-injektion i QuerySet.annotate(), aggregate() och extra(). fullständig beskrivning <https://www.djangoproject.com/weblog/2022/apr/11/security-releases/>`__

11 april 2022 - CVE 2022-28347

Potentiell SQL-injektion via QuerySet.explain(**options) på PostgreSQL. Fullständig beskrivning

1 februari 2022 - CVE 2022-22818`

Möjlig XSS via {% debug %} malltagg. Fullständig beskrivning

Versioner som påverkas

1 februari 2022 - CVE 2022-23833`

Denial-of-service-möjlighet i filuppladdningar. fullständig beskrivning <https://www.djangoproject.com/weblog/2022/feb/01/security-releases/>`__

Versioner som påverkas

4 januari 2022 - CVE 2021-45452`

Potentiell katalogtraversering via Storage.save(). fullständig beskrivning <https://www.djangoproject.com/weblog/2022/jan/04/security-releases/>`__

Versioner som påverkas

4 januari 2022 - CVE 2021-45116

Potentiellt informationsläckage i mallfiltret dictsort. Fullständig beskrivning

Versioner som påverkas

4 januari 2022 - CVE 2021-45115`

Denial-of-service-möjlighet i UserAttributeSimilarityValidator. Fullständig beskrivning

Versioner som påverkas

7 december 2021 - CVE 2021-44420

Möjlig förbikoppling av en uppströms åtkomstkontroll baserad på URL-sökvägar. fullständig beskrivning <https://www.djangoproject.com/weblog/2021/dec/07/security-releases/>`__

Versioner som påverkas

1 juli 2021 - CVE 2021-35042`

Potentiell SQL-injektion via osanerad QuerySet.order_by()-ingång. Fullständig beskrivning

Versioner som påverkas

2 juni 2021 - CVE 2021-33203`

Potentiell katalogtraversering via admindocs. Fullständig beskrivning

Versioner som påverkas

2 juni 2021 - CVE 2021-33571

Möjliga obestämda SSRF-, RFI- och LFI-attacker eftersom validerare accepterade ledande nollor i IPv4-adresser. fullständig beskrivning <https://www.djangoproject.com/weblog/2021/jun/02/security-releases/>`__

Versioner som påverkas

6 maj 2021 - CVE 2021-32052

Möjlighet till rubrikinjektion sedan URLValidator accepterade nya rader i indata på Python 3.9.5+. Fullständig beskrivning

Versioner som påverkas

4 maj 2021 - CVE 2021-31542

Potentiell katalogtraversering via uppladdade filer. fullständig beskrivning <https://www.djangoproject.com/weblog/2021/may/04/security-releases/>`__

Versioner som påverkas

6 april 2021 - CVE 2021-28658

Potentiell katalogtraversering via uppladdade filer. fullständig beskrivning <https://www.djangoproject.com/weblog/2021/apr/06/security-releases/>`__

Versioner som påverkas

19 februari 2021 - CVE 2021-23336

Förgiftning av webbcache via django.utils.http.limited_parse_qsl(). Fullständig beskrivning

Versioner som påverkas

1 februari 2021 - CVE 2021-3281

Potentiell katalogtraversering via archive.extract(). fullständig beskrivning <https://www.djangoproject.com/weblog/2021/feb/01/security-releases/>`__

Versioner som påverkas

1 september 2020 - CVE 2020-24584`

Behörighetsexpansion i kataloger på mellannivå i filsystemets cache på Python 3.7+. Fullständig beskrivning

Versioner som påverkas

1 september 2020 - CVE 2020-24583`

Felaktiga behörigheter för kataloger på mellannivå i Python 3.7+. Fullständig beskrivning

Versioner som påverkas

3 juni 2020 - CVE 2020-13596`

Möjlig XSS via admin ForeignKeyRawIdWidget. Fullständig beskrivning

Versioner som påverkas

3 juni 2020 - CVE 2020-13254

Potentiellt dataläckage via missbildade memcached-nycklar. fullständig beskrivning <https://www.djangoproject.com/weblog/2020/jun/03/security-releases/>`__

Versioner som påverkas

4 mars 2020 - CVE 2020-9402

Potentiell SQL-injektion via parametern tolerance i GIS-funktioner och aggregat i Oracle. fullständig beskrivning <https://www.djangoproject.com/weblog/2020/mar/04/security-releases/>`__

Versioner som påverkas

3 februari 2020 - CVE 2020-7471

Potentiell SQL-injektion via StringAgg(delimiter). Fullständig beskrivning

Versioner som påverkas

18 december 2019 - CVE 2019-19844

Potentiell kapning av konto via formulär för återställning av lösenord. fullständig beskrivning <https://www.djangoproject.com/weblog/2019/dec/18/security-releases/>`__

Versioner som påverkas

2 december 2019 - CVE 2019-19118

Privilegieeskalering i Django-admin. fullständig beskrivning <https://www.djangoproject.com/weblog/2019/dec/02/security-releases/>`__

Versioner som påverkas

1 augusti 2019 - CVE 2019-14235`

Potentiell minnesutmattning i django.utils.encoding.uri_to_iri(). Fullständig beskrivning

Versioner som påverkas

1 augusti 2019 - CVE 2019-14234`

SQL-injektionsmöjlighet i nyckel- och indexuppslagningar för JSONField/HStoreField. fullständig beskrivning <https://www.djangoproject.com/weblog/2019/aug/01/security-releases/>`__

Versioner som påverkas

1 augusti 2019 - CVE 2019-14233`

Möjligheten till överbelastningsattack i strip_tags(). Fullständig beskrivning

Versioner som påverkas

1 augusti 2019 - CVE 2019-14232`

Denial-of-service-möjlighet i django.utils.text.Truncator. Fullständig beskrivning

Versioner som påverkas

1 juli 2019 - CVE 2019-12781`

Felaktig HTTP-detektering med omvänd proxy som ansluter via HTTPS. fullständig beskrivning <https://www.djangoproject.com/weblog/2019/jul/01/security-releases/>`__

Versioner som påverkas

3 juni 2019 - CVE 2019-12308`

XSS via länken ”Aktuell URL” som genereras av AdminURLFieldWidget. Fullständig beskrivning

Versioner som påverkas

3 juni 2019 - CVE 2019-11358`

Prototypförorening i medföljande jQuery. fullständig beskrivning <https://www.djangoproject.com/weblog/2019/jun/03/security-releases/>`__

Versioner som påverkas

11 februari 2019 - CVE 2019-6975`

Minnesutmattning i django.utils.numberformat.format(). Fullständig beskrivning

Versioner som påverkas

4 januari 2019 - CVE 2019-3498

Möjlighet att förfalska innehåll i standard 404-sidan. Fullständig beskrivning

Versioner som påverkas

1 oktober 2018 - CVE 2018-16984`

Lösenordshash avslöjas för administratörsanvändare med ”endast visning”. fullständig beskrivning <https://www.djangoproject.com/weblog/2018/oct/01/security-release/>`__

Versioner som påverkas

1 augusti 2018 - CVE 2018-14574`

Öppen möjlighet till omdirigering i CommonMiddleware. Fullständig beskrivning

Versioner som påverkas

6 mars 2018 - CVE 2018-7537`

Denial-of-service-möjlighet i mallfiltren truncatechars_html och truncatewords_html. Fullständig beskrivning

Versioner som påverkas

6 mars 2018 - CVE 2018-7536`

Tjänstebortfall i mallfiltren urlize och urlizetrunc. Fullständig beskrivning

Versioner som påverkas

1 februari 2018 - CVE 2018-6188

Informationsläckage i AuthenticationForm. Fullständig beskrivning

Versioner som påverkas

5 september 2017 - CVE 2017-12794`

Möjlig XSS i spårningsavsnittet på den tekniska 500-felsökningssidan. Fullständig beskrivning

Versioner som påverkas

4 april 2017 - CVE 2017-7234`

Sårbarhet för öppen omdirigering i django.views.static.serve(). Fullständig beskrivning

Versioner som påverkas

4 april 2017 - CVE 2017-7233`

Öppen omdirigering och möjlig XSS-attack via användartillhandahållna numeriska URL:er för omdirigering. fullständig beskrivning <https://www.djangoproject.com/weblog/2017/apr/04/security-releases/>`__

Versioner som påverkas

1 november 2016 - CVE 2016-9014`

DNS-sårbarhet för ombindning när DEBUG=True. fullständig beskrivning <https://www.djangoproject.com/weblog/2016/nov/01/security-releases/>`__

Versioner som påverkas

1 november 2016 - CVE 2016-9013`

Användare med hårdkodat lösenord som skapas när man kör tester på Oracle. fullständig beskrivning <https://www.djangoproject.com/weblog/2016/nov/01/security-releases/>`__

Versioner som påverkas

26 september 2016 - CVE 2016-7401`

CSRF-skydd förbikopplat på en webbplats med Google Analytics. Fullständig beskrivning

Versioner som påverkas

18 juli 2016 - CVE 2016-6186`

XSS i administratörens popup-meny för tillägg/ändring. Fullständig beskrivning

Versioner som påverkas

1 mars 2016 - CVE 2016-2513`

Uppräkning av användare genom tidsskillnad vid uppgradering av lösenordshashers arbetsfaktor. fullständig beskrivning <https://www.djangoproject.com/weblog/2016/mar/01/security-releases/>`__

Versioner som påverkas

1 mars 2016 - CVE 2016-2512`

Skadlig omdirigering och möjlig XSS-attack via användartillhandahållna omdirigeringsadresser som innehåller grundläggande autentisering. Fullständig beskrivning

Versioner som påverkas

1 februari 2016 - CVE 2016-2048`

Användare med behörigheten ”change” men inte ”add” kan skapa objekt för ModelAdmin med save_as=True. Fullständig beskrivning

Versioner som påverkas

24 november 2015 - CVE 2015-8213`

Möjlighet till läckage av inställningar i date mallfilter. Fullständig beskrivning

Versioner som påverkas

18 augusti 2015 - CVE 2015-5963 / CVE 2015-5964

Denial-of-service-möjlighet i logout()-vyn genom att fylla sessionslagret. Fullständig beskrivning

Versioner som påverkas

8 juli 2015 - CVE 2015-5145

Denial-of-service-möjlighet i URL-validering. fullständig beskrivning <https://www.djangoproject.com/weblog/2015/jul/08/security-releases/>`__

Versioner som påverkas

8 juli 2015 - CVE 2015-5144

Möjlighet till rubrikinjektion eftersom validerare accepterar nya rader i indata. fullständig beskrivning <https://www.djangoproject.com/weblog/2015/jul/08/security-releases/>`__

Versioner som påverkas

8 juli 2015 - CVE 2015-5143`

Möjligheten till nekad tjänst genom att fylla sessionslagret. fullständig beskrivning <https://www.djangoproject.com/weblog/2015/jul/08/security-releases/>`__

Versioner som påverkas

20 maj 2015 - CVE 2015-3982`

Fixade sessionsspolning i cached_db-backend. fullständig beskrivning <https://www.djangoproject.com/weblog/2015/may/20/security-release/>`__

Versioner som påverkas

18 mars 2015 - CVE 2015-2317`

Mildrad möjlig XSS-attack via URL-adresser som användaren själv har angett. fullständig beskrivning <https://www.djangoproject.com/weblog/2015/mar/18/security-releases/>`__

Versioner som påverkas

18 mars 2015 - CVE 2015-2316`

Möjligheten till överbelastningsattack med strip_tags(). fullständig beskrivning <https://www.djangoproject.com/weblog/2015/mar/18/security-releases/>`__

Versioner som påverkas

9 mars 2015 - CVE 2015-2241

XSS-attack via egenskaper i ModelAdmin.readonly_fields. Fullständig beskrivning

Versioner som påverkas

13 januari 2015 - CVE 2015-0222`

Denial-of-service i databas med ModelMultipleChoiceField. Fullständig beskrivning

Versioner som påverkas

13 januari 2015 - CVE 2015-0221

Denial-of-service-attack mot django.views.static.serve(). Fullständig beskrivning

Versioner som påverkas

13 januari 2015 - CVE 2015-0220`

Mildrad möjlig XSS-attack via URL-adresser som användaren själv har angett. fullständig beskrivning <https://www.djangoproject.com/weblog/2015/jan/13/security/>`__

Versioner som påverkas

13 januari 2015 - CVE 2015-0219`

WSGI header spoofing via underscore/dash conflation. fullständig beskrivning <https://www.djangoproject.com/weblog/2015/jan/13/security/>`__

Versioner som påverkas

20 augusti 2014 - CVE 2014-0483`

Dataläckage via manipulering av frågesträngar i admin. fullständig beskrivning <https://www.djangoproject.com/weblog/2014/aug/20/security/>`__

Versioner som påverkas

20 augusti 2014 - CVE 2014-0482`

RemoteUserMiddleware session hijacking. Fullständig beskrivning

Versioner som påverkas

20 augusti 2014 - CVE 2014-0481

Förnekande av tjänst vid filuppladdning. fullständig beskrivning <https://www.djangoproject.com/weblog/2014/aug/20/security/>`__

Versioner som påverkas

20 augusti 2014 - CVE 2014-0480`

reverse() kan generera webbadresser som pekar på andra värdar. Fullständig beskrivning

Versioner som påverkas

18 maj 2014 - CVE 2014-3730`

Missvisande URL:er från användarinmatning som validerats felaktigt. fullständig beskrivning <https://www.djangoproject.com/weblog/2014/may/14/security-releases-issued/>`__

Versioner som påverkas

18 maj 2014 - CVE 2014-1418`

Cacher kan tillåtas lagra och tillhandahålla privata data. fullständig beskrivning <https://www.djangoproject.com/weblog/2014/may/14/security-releases-issued/>`__

Versioner som påverkas

21 april 2014 - CVE 2014-0474`

MySQL typecasting orsakar oväntade sökresultat. fullständig beskrivning <https://www.djangoproject.com/weblog/2014/apr/21/security/>`__

Versioner som påverkas

21 april 2014 - CVE 2014-0473`

Cachelagring av anonyma sidor kan avslöja CSRF-token. fullständig beskrivning <https://www.djangoproject.com/weblog/2014/apr/21/security/>`__

Versioner som påverkas

21 april 2014 - CVE 2014-0472`

Oväntad exekvering av kod med hjälp av reverse(). Fullständig beskrivning

Versioner som påverkas

14 september 2013 - CVE 2013-1443`

Avbrott i tjänsten via stora lösenord. fullständig beskrivning <https://www.djangoproject.com/weblog/2013/sep/15/security/>`__

Versioner som påverkas

10 september 2013 - CVE 2013-4315`

Directory-traversal via ssi template tag. Fullständig beskrivning

Versioner som påverkas

13 augusti 2013 - CVE 2013-6044`

Möjlig XSS via icke validerade URL-omdirigeringsscheman. fullständig beskrivning <https://www.djangoproject.com/weblog/2013/aug/13/security-releases-issued/>`__

Versioner som påverkas

13 augusti 2013 - CVE 2013-4249`

XSS via admin som litar på URLField-värden. Fullständig beskrivning

Versioner som påverkas

19 februari 2013 - CVE 2013-0306

Nekad tjänst via förbikoppling av formatet max_num. Fullständig beskrivning

Versioner som påverkas

19 februari 2013 - CVE 2013-0305`

Informationsläckage via administratörshistoriklogg. fullständig beskrivning <https://www.djangoproject.com/weblog/2013/feb/19/security/>`__

Versioner som påverkas

19 februari 2013 - CVE 2013-1664 / CVE 2013-1665

Entitetsbaserade attacker mot Python XML-bibliotek. fullständig beskrivning <https://www.djangoproject.com/weblog/2013/feb/19/security/>`__

Versioner som påverkas

19 februari 2013 - Ingen CVE

Ytterligare förstärkning av hanteringen av Host-rubriker. fullständig beskrivning <https://www.djangoproject.com/weblog/2013/feb/19/security/>`__

Versioner som påverkas

10 december 2012 - Nr CVE 2

Ytterligare förstärkning av validering av omdirigeringar. fullständig beskrivning <https://www.djangoproject.com/weblog/2012/dec/10/security/>`__

Versioner som påverkas

10 december 2012 - Nr CVE 1

Ytterligare förstärkning av hanteringen av Host-rubriker. fullständig beskrivning <https://www.djangoproject.com/weblog/2012/dec/10/security/>`__

Versioner som påverkas

17 oktober 2012 - CVE 2012-4520`

Host header poisoning. Fullständig beskrivning

Versioner som påverkas

30 juli 2012 - CVE 2012-3444`

Nekande av tjänst via stora bildfiler. fullständig beskrivning <https://www.djangoproject.com/weblog/2012/jul/30/security-releases-issued/>`__

Versioner som påverkas

30 juli 2012 - CVE 2012-3443`

Nekande av tjänst via komprimerade bildfiler. fullständig beskrivning <https://www.djangoproject.com/weblog/2012/jul/30/security-releases-issued/>`__

Versioner som påverkas

30 juli 2012 - CVE 2012-3442`

XSS via misslyckande att validera omdirigeringsschema. fullständig beskrivning <https://www.djangoproject.com/weblog/2012/jul/30/security-releases-issued/>`__

Versioner som påverkas

9 september 2011 - CVE 2011-4140`

Potentiell CSRF via Host-huvud. Fullständig beskrivning

Versioner som påverkas

Detta meddelande var endast ett råd, så inga korrigeringar utfärdades.

  • Django 1.2

  • Django 1.3

9 september 2011 - CVE 2011-4139`

Host header cache poisoning. Fullständig beskrivning

Versioner som påverkas

9 september 2011 - CVE 2011-4138`

Informationsläckage/ godtyckligt utfärdande av begäran via URLField.verify_exists. fullständig beskrivning <https://www.djangoproject.com/weblog/2011/sep/09/security-releases-issued/>`__

Versioner som påverkas

9 september 2011 - CVE 2011-4137`

Nekande av tjänst via URLField.verify_exists. fullständig beskrivning <https://www.djangoproject.com/weblog/2011/sep/09/security-releases-issued/>`__

Versioner som påverkas

9 september 2011 - CVE 2011-4136`

Sessionsmanipulation vid användning av minnescache-stödd session. fullständig beskrivning <https://www.djangoproject.com/weblog/2011/sep/09/security-releases-issued/>`__

Versioner som påverkas

8 februari 2011 - CVE 2011-0698

Directory-traversal i Windows via felaktig hantering av sökvägsseparatorer. fullständig beskrivning <https://www.djangoproject.com/weblog/2011/feb/08/security/>`__

Versioner som påverkas

8 februari 2011 - CVE 2011-0697`

XSS via osanitiserade namn på uppladdade filer. fullständig beskrivning <https://www.djangoproject.com/weblog/2011/feb/08/security/>`__

Versioner som påverkas

8 februari 2011 - CVE 2011-0696`

CSRF via förfalskade HTTP-rubriker. fullständig beskrivning <https://www.djangoproject.com/weblog/2011/feb/08/security/>`__

Versioner som påverkas

22 december 2010 - CVE 2010-4535`

Nekande av tjänst i mekanism för återställning av lösenord. fullständig beskrivning <https://www.djangoproject.com/weblog/2010/dec/22/security/>`__

Versioner som påverkas

22 december 2010 - CVE 2010-4534

Informationsläckage i administrativt gränssnitt. fullständig beskrivning <https://www.djangoproject.com/weblog/2010/dec/22/security/>`__

Versioner som påverkas

8 september 2010 - CVE 2010-3082

XSS genom att lita på osäkra cookie-värden. fullständig beskrivning <https://www.djangoproject.com/weblog/2010/sep/08/security-release/>`__

Versioner som påverkas

9 oktober 2009 - CVE 2009-3695

Nekad tjänst via patologiska reguljära uttryck. fullständig beskrivning <https://www.djangoproject.com/weblog/2009/oct/09/security/>`__

Versioner som påverkas

28 juli 2009 - CVE 2009-2659

Directory-traversal i utvecklingsserverns mediahanterare. fullständig beskrivning <https://www.djangoproject.com/weblog/2009/jul/28/security/>`__

Versioner som påverkas

2 september 2008 - CVE 2008-3909

CSRF via bevarande av POST-data under admininloggning. fullständig beskrivning <https://www.djangoproject.com/weblog/2008/sep/02/security/>`__

Versioner som påverkas

14 maj 2008 - CVE 2008-2302

XSS via omdirigering av admininloggning. fullständig beskrivning <https://www.djangoproject.com/weblog/2008/may/14/security/>`__

Versioner som påverkas

26 oktober 2007 - CVE 2007-5712`

Nekad tjänst via godtyckligt stort Accept-Language-huvud. fullständig beskrivning <https://www.djangoproject.com/weblog/2007/oct/26/security-fix/>`__

Versioner som påverkas

Frågor före Djangos säkerhetsprocess

Vissa säkerhetsfrågor hanterades innan Django hade en formaliserad säkerhetsprocess i bruk. För dessa kanske inte nya versioner utfärdades vid den tiden och CVE:er kanske inte tilldelades.

21 januari 2007 - CVE 2007-0405`

Uppenbar ”cachelagring” av autentiserad användare. fullständig beskrivning <https://www.djangoproject.com/weblog/2007/jan/21/0951/>`__

Versioner som påverkas

16 augusti 2006 - CVE 2007-0404`

Problem med validering av filnamn i översättningsramverk. fullständig beskrivning <https://www.djangoproject.com/weblog/2006/aug/16/compilemessages/>`__

Versioner som påverkas