漏洞概述 漏洞名称:Cross-Site Scripting (XSS) in Template Tag 严重程度:Moderate (CVSS 6.1/10) CVE编号:CVE-2024-14231 根本原因: Django 包中的 模板标签存在 XSS 漏洞。该标签使用自定义 子类通过 注册,不同于 会自动应用 ,自定义 方法不会自动转义,而 方法未对输出进行安全处理。 漏洞代码: --- 影响范围 受影响版本:< 0.6.2 修复版本:0.6.3 攻击向量:网络 攻击复杂度:低 用户交互:需要 攻击场景: 模板代码: 渲染代码: POC/利用代码: 产生结果: 影响:任何将用户输入、数据库内容或其他不可信来源传递给 的模板都存在漏洞,可导致会话劫持、凭证窃取、以受害者身份执行任意操作以及页面篡改。 --- 修复方案 代码修复: 临时缓解措施:在补丁可用之前,在将不可信值传递给 之前对其进行清理,例如在视图层使用 。