远程 Ubuntu 14.04 LTS 主机上安装的一个程序包受到 USN-2469-1 公告中提及的多个漏洞影响。

    Jedediah Smith 发现 Django 未正确处理 WSGI 标头中的下划线。远程攻击者可能利用此问题在特定环境中欺骗标头 (CVE-2015-0219)。

    Mikko Ohtamaa 发现 Django 未正确处理用户提供的重定向 URL。远程攻击者可能利用此问题执行跨站脚本攻击。(CVE-2015-0220)

    Alex Gaynor 发现 Django 未正确处理 django.views.static.serve() 中的文件读取。远程攻击者可能利用此问题导致 Django 消耗资源，从而导致拒绝服务。(CVE-2015-0221)

    Keryn Knight 发现 Django 没有正确处理 ModelMultipleChoiceField 的表单。远程攻击者可能利用此问题生成大量 SQL 查询，从而导致数据库拒绝服务。此问题仅影响 Ubuntu 14.04 LTS 和 Ubuntu 14.10。(CVE-2015-0222)

Tenable 已直接从 Ubuntu 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

检测

Ubuntu 14.04 LTS：Django 漏洞 (USN-2469-1)

high Nessus 插件 ID 80516

版本 1.12

版本 1.10

版本 1.12 Sep 4, 2025, 5:30 PM CVSS metrics ("CVSSv3 score" set to 6.1) CVSS metrics ("CVSSv3 vector" set to "CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N") CVSS metrics ("Cvssv4 score" set to 8.7) CVSS metrics ("Cvssv4 threat vector" set to "CVSS:4.0/E:P") CVSS metrics ("Cvssv4 vector" set to "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N") CVSSv3 score source (set to "CVE-2015-0220") Detection (updated detection logic) Plugin Feed: 202509041730
版本 1.10 Oct 21, 2023, 5:06 AM CVSS metrics ("CVSSv3 vector" set to "CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N") CVSS temporal metrics ("CVSSv2 temporal vector" set to "CVSS2#E:POC/RL:OF/RC:C". "CVSSv3 temporal vector" set to "CVSS:3.0/E:P/RL:O/RC:C") CVSSv2 score source (set to "CVE-2015-0219") Detection Exploit attributes ("Exploit available" set to "True". "Exploitability ease" changed from "No known exploits are available" to "Exploits are available") Plugin metadata Plugin Feed: 202310210506