Django应用程序漏洞可导致远程执行任意代码

研究人员发现了影响 Django Web应用程序的严重远程代码执行(RCE)漏洞，利用滥用 pandas CSV解析器进行目录遍历，以覆盖Django的文件并实现任意代码执行。该严重漏洞源于应用程序信任用户提供的数据，而这些数据未经适当的过滤。创新是将恶意负载嵌入 Python注释中，确保 Python 解释器会忽略 引入的额外逗号和格式。此漏洞表明，将多个看似很小的安全漏洞串联起来造成严重漏洞的潜在危险。