漏洞概述 漏洞名称: Vuln-4: Unauthenticated Cache Purge Endpoint 项目: DjangoBlog (https://github.com/liangliangyy/DjangoBlog) 版本: Latest master (commit 8e776ea) 日期: 2026-03-14 严重性: HIGH OWASP: A01:2021 - Broken Access Control CWE: CWE-306 - Missing Authentication for Critical Function 影响范围 受影响文件: (lines 406-408) 根因: 端点无需认证即可清除整个应用程序缓存。 影响: 重复的缓存清除会导致所有请求直接击中数据库,造成缓存穿透拒绝服务(cache stampede denial-of-service)。这可以通过零认证轻松脚本化。 修复方案 推荐修复: 在 端点添加 和 装饰器。 POC代码 参考 OWASP Top 10 (2021) CWE-306: Missing Authentication for Critical Function Django Security Best Practices DjangoBlog source: https://github.com/liangliangyy/DjangoBlog