安全公告:密码重置中的漏洞(仅限 master 分支)
今天,Django 安全团队成员 Florian Apolloner 发现并修复了 新的 PasswordResetConfirmView 中的一个严重安全问题,该 视图已添加到 Django master 分支,时间为 2016 年 7 月 16 日。该视图在 POST 请求中没有验证密码重置令牌,因此允许任何人重置任何用户的密码。
此问题不会影响任何已发布的 Django 版本。根据我们的 安全策略,master 中存在但任何已发布版本中都不存在安全问题,将在公开披露和修复,无需事先通知。
此问题证明了基于类的通用视图的复杂性,Django 团队建议在将它们用于安全敏感的功能时要谨慎。我们将考虑删除 master 分支中计划用于 Django 1.11 的基于类的身份验证视图。对此的讨论将在 django-developers 邮件列表 上公开进行。
返回顶部