一、漏洞详情

Django是一个基于Python的开源Web应用框架。

Django项目发布安全公告，修复了Django中的一个拒绝服务漏洞（CVE-2023-36053）。Django多个受影响版本中，EmailValidator和URLValidator可能通过大量电子邮件和URL的域名标签受到ReDoS（正则表达式拒绝服务）攻击，威胁者可构造特殊的字符串，导致服务器资源被耗尽，造成拒绝服务。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

Django版本4.2：< 4.2.3

Django版本4.1：< 4.1.10

Django版本3.2：< 3.2.20

三、修复建议

目前该漏洞已经修复，受影响用户可升级到以下版本：

5.5.2<=Parse-server版本< 6.0.0

Parse-server版本：>=6.2.1

目前该漏洞已经修复，受影响用户可升级到以下版本：

Django版本4.2：>=4.2.3

Django版本4.1：>=4.1.10

Django版本3.2：>=3.2.20

下载链接：https://www.djangoproject.com/weblog/2023/jul/03/security-releases/