Django 任意文件读取

## 漏洞标题为:Django 任意文件读取
## 漏洞类型为:路径遍历
## 漏洞等级为:中危
## 漏洞简介为
Django是Django基金会的一套基于Python语言的开源Web应用框架。该框架包括面向对象的映射器、视图系统、模板系统等。
在 django 中发现了一个路径注入问题,如果启用了模块 django.contrib.admindocs,恶意管理员用户就可以披露文件系统上文件的存在。
经过身份验证的恶意管理员可以披露任意文件的存在。

## 漏洞cve为:CVE-2021-33203
https://securitylab.github.com/advisories/GHSL-2021-075-django/

### poc:

http://localhost:8000/admin/doc/templates//etc/passwd/

© 版权声明
THE END
喜欢就支持一下吧
点赞0 分享
评论 抢沙发

请登录后发表评论

    请登录后查看评论内容