Django应用程序漏洞可导致远程执行任意代码
研究人员发现了影响 Django Web应用程序的严重远程代码执行(RCE)漏洞,利用滥用 pandas CSV解析器进行目录遍历,以覆盖Django的文件并实现任意代码执行。该严重漏洞源于应用程序信任用户提供的数据,而这些数据未经适当的过滤。创新是将恶意负载嵌入 Python注释中,确保 Python 解释器会忽略 引入的额外逗号和格式。此漏洞表明,将多个看似很小的安全漏洞串联起来造成严重漏洞的潜在危险。
下一篇:Linux 6.16-rc4发布