-
-
[原创]cve-2014-0472漏洞分析
-
发表于: 2015-9-16 22:13
-
本次分析的cve-2014-0472之前Django web框架爆出的可远程执行漏洞,django.core.urlresolvers模块存在一个BUG,问题在于urlresolvers.py中的reverse函数,在将dotted python路径表示的view转化为URL时,没有检查该view是否在当前的URL patterns中存在定义,导致远程攻击者可利用该漏洞导入Python import Path下的模块,并可能导致远程代码执行。本文主要包括以下内容:
1. 漏洞的基本信息
2. 漏洞的成因
3. 漏洞的测试情况,分析其利用的条件与可行性
4. 漏洞补丁的情况
附件中是分析的文档
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
