一、漏洞簡介

Django是Django基(ji)金會(hui)的一套基(ji)于Python語言的開源Web應用框架(jia)。該(gai)框架(jia)包括面向對象的映(ying)射器、視圖系統、模板系統等。

該漏(lou)洞源于將(jiang)某些輸(shu)入傳遞給multipart表單可能會導致服務器打開的文件過多或(huo)內(nei)存耗盡，攻擊(ji)者利用該漏(lou)洞可以(yi)導致拒(ju)絕服務。

二、影響范圍

4.1 <= Django版本 < 4.1.7

4.0 <= Django版(ban)本 < 4.0.10

3.2 <= Django版本(ben) < 3.2.18

三、解決措施

目前官方(fang)已在最新(xin)版本(ben)中修復了該漏(lou)洞(dong)，請受影響的用(yong)戶(hu)盡快升級版本(ben)進行防(fang)護(hu)，最新(xin)版本(ben)下(xia)載鏈接如(ru)下(xia)：

Django版(ban)本(ben) >= 4.1.7

Django版本 >= 4.0.10

Django版本 >= 3.2.18

四(si)、參考鏈接

//docs.djangoproject.com/en/4.1/releases/security/

//www.openwall.com/lists/oss-security/2023/02/14/1

//www.djangoproject.com/weblog/2023/feb/14/security-releases/