漏洞概述 漏洞编号: CVE-2026-790289 漏洞标题: liangliangyy DjangoBlog <= 2.1.0.0 安全配置错误 + 硬编码凭证 漏洞类型: 安全配置错误(Security Misconfiguration) 严重程度: 高危(Hardcoded Credentials) 提交用户: Demo (UID 82596) 提交时间: 2026/03/26 05:26 PM 审核时间: 2026/04/19 06:06 PM 状态: 已审核(Moderated) VulDB 条目: [liangliangyy DjangoBlog up to 2.1.0.0 Setting django/blog/settings.py USER/PASSWORD hard-coded credentials] 漏洞描述 DjangoBlog 通过 x.x.x 版本启用了 Django DEBUG 模式默认设置,并使用硬编码的数据库凭证(root/root)作为回退值。在 中部署时,若未配置环境变量,则会暴露详细的错误页面(包括堆栈跟踪、设置、本地变量等),并使用可轻易猜测的数据库凭证。 影响范围 受影响软件: liangliangyy DjangoBlog 受影响版本: <= 2.1.0.0 影响组件: - - 数据库连接配置 风险点: - DEBUG 模式默认开启 - 硬编码数据库用户名/密码(root/root) - 错误信息泄露敏感数据 修复方案 1. 禁用 DEBUG 模式:在生产环境中务必设置 2. 移除硬编码凭证:使用环境变量或配置文件管理数据库凭证 3. 加强错误处理:避免在生产环境暴露详细错误信息 4. 定期安全审计:检查代码中是否存在其他硬编码敏感信息 来源链接 GitHub 仓库: https://github.com/3em0/cve_repo/blob/main/DjangoBlog/Vuln-12-DEBUG-Enabled-Hardcoded-DB-Creds.md 备注 该漏洞由社区用户提交至 VulDB VulDB 不对内容真实性负责,仅做审核和验证 原始信息可能包含恶意代码或数据,请谨慎使用