menu arrow_back 湛蓝安全空间 |狂野湛蓝,暴躁每天 chevron_right All_wiki chevron_right Some-PoC-oR-ExP-master chevron_right Django chevron_right CVE-2021-33203.md
  • home 首页
  • brightness_4 暗黑模式
    • cloud
    xLIYhHS7e34ez7Ma
    cloud
    湛蓝安全
    code
    Github
    CVE-2021-33203.md
    694 B / 2021-07-04 19:32:24
        ## 漏洞标题为:Django 任意文件读取
## 漏洞类型为:路径遍历
## 漏洞等级为:中危
## 漏洞简介为
   Django是Django基金会的一套基于Python语言的开源Web应用框架。该框架包括面向对象的映射器、视图系统、模板系统等。
在 django 中发现了一个路径注入问题,如果启用了模块 django.contrib.admindocs,恶意管理员用户就可以披露文件系统上文件的存在。
经过身份验证的恶意管理员可以披露任意文件的存在。


## 漏洞cve为:CVE-2021-33203
https://securitylab.github.com/advisories/GHSL-2021-075-django/

### poc:

http://localhost:8000/admin/doc/templates//etc/passwd/
    links
    file_download