一、基本情况
Django是一个基于Python的开源Web应用框架。
二、漏洞描述
Django项目发布安全公告,修复了Django中的一个拒绝服务漏洞(CVE-2023-46695)。该漏洞存在于Windows上UsernameField中,由于NFKC规范化在Windows上运行缓慢,当django.contrib.auth.forms.UsernameField接收包含大量Unicode字符的输入时可能导致拒绝服务。
三、影响范围
Django 4.2版本< 4.2.7
Django 4.1版本< 4.1.13
Django 3.2版本< 3.2.23
四、修复建议
目前该漏洞已经修复,受影响用户可升级到以下版本:
Django 4.2版本>=4.2.7
Django 4.1版本>= 4.1.13
Django 3.2版本>=3.2.23
