django-markupfield任意文件读取漏洞

CVE: CVE-2015-0846

CNVD: 暂无

CNNVD: 暂无

漏洞类型: 其它

漏洞等级: 中危

年份: 暂无

POC_ID: 暂无

漏洞描述

Django是Python编程语言驱动的一个开源模型-视图-控制器风格的Web应用程序框架。 django-markupfield 1.3.2之前版本使用默认docutils RESTRUCTUREDTEXT_FILTER_SETTINGS设置,允许远程攻击者利用漏洞包含和读取任意文件。

影响范围

Django django-markupfield <1.3.2

漏洞详情

暂无

漏洞 POC

暂无

修复建议

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

参考来源

http://www.debian.org/security/2015/dsa-3230