HIGHCVE-2011-4140CVSS 7.5

CVE-2011-4140

अनुवाद हो रहा है…

प्लेटफ़ॉर्म

python

घटक

django

में ठीक किया गया

1.2.8

1.2.7

AI Confidence: highNVDEPSS 0.3%समीक्षित: मई 2026

NVD पर देखें

सहेजें

CVE-2011-4140 एक क्रॉस-साइट स्क्रिप्टिंग (CSRF) भेद्यता है जो Django वेब फ्रेमवर्क के संस्करण 1.3 और उससे पहले के संस्करणों को प्रभावित करती है। यह भेद्यता हमलावरों को DNS CNAME रिकॉर्ड और JavaScript कोड का उपयोग करके अनधिकृत अनुरोधों को ट्रिगर करने की अनुमति देती है। Django 1.2.7 में इस समस्या का समाधान किया गया है।

प्रभाव और हमले की स्थितियाँ

यह CSRF भेद्यता हमलावरों को Django एप्लिकेशन पर उपयोगकर्ता की ओर से कार्य करने की अनुमति देती है, बिना उपयोगकर्ता की जानकारी या सहमति के। हमलावर एक दुर्भावनापूर्ण वेब पेज बना सकते हैं जिसमें JavaScript कोड शामिल है जो उपयोगकर्ता के ब्राउज़र को अनधिकृत अनुरोध भेजने के लिए मजबूर करता है। उदाहरण के लिए, एक हमलावर उपयोगकर्ता के खाते से पैसे ट्रांसफर करने या संवेदनशील डेटा बदलने के लिए इस भेद्यता का उपयोग कर सकता है। DNS CNAME रिकॉर्ड का उपयोग करके, हमलावर एक ऐसे डोमेन को इंगित कर सकता है जो Django एप्लिकेशन के समान दिखता है, जिससे उपयोगकर्ता को धोखा देना आसान हो जाता है।

शोषण संदर्भ

CVE-2011-4140 को सार्वजनिक रूप से उजागर किया गया है और इसके लिए सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हैं। CISA KEV सूची में इस CVE को शामिल नहीं किया गया है। NVD ने 2011-10-19 को इस भेद्यता को प्रकाशित किया।

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात

CISA KEVNO

इंटरनेट एक्सपोज़रउच्च

EPSS

0.34% (57% शतमक)

CVSS वेक्टर

प्रभावित सॉफ्टवेयर

घटकdjango

विक्रेताosv

प्रभावित श्रेणीमें ठीक किया गया

1.2.71.2.8

—1.2.7

1.31.2.7

समयरेखा

प्रकाशित2011-10-19
संशोधित2023-11-08
EPSS अद्यतन2026-04-02

प्रकाशन के -38 दिन बाद पैच

शमन और वर्कअराउंड

CVE-2011-4140 को कम करने के लिए, Django के नवीनतम संस्करण (1.2.7 या बाद का) में अपग्रेड करना महत्वपूर्ण है। यदि अपग्रेड संभव नहीं है, तो वेब सर्वर कॉन्फ़िगरेशन को संशोधित करके HTTP Host हेडर को सीमित करने पर विचार करें। यह सुनिश्चित करें कि Django एप्लिकेशन केवल विश्वसनीय डोमेन से अनुरोधों को स्वीकार करता है। इसके अतिरिक्त, CSRF टोकन को ठीक से लागू करना और सभी संवेदनशील कार्यों के लिए उनका उपयोग करना महत्वपूर्ण है।

कैसे ठीक करेंअनुवाद हो रहा है…

कोई आधिकारिक पैच उपलब्ध नहीं है। वैकल्पिक समाधान खोजें या अपडेट की निगरानी करें।

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2011-4140 — CSRF Django ≤1.3 में क्या है?

CVE-2011-4140 Django वेब फ्रेमवर्क के पुराने संस्करणों में एक CSRF भेद्यता है, जो हमलावरों को अनधिकृत अनुरोधों को ट्रिगर करने की अनुमति देती है।

क्या मैं CVE-2011-4140 में Django ≤1.3 से प्रभावित हूं?

यदि आप Django के संस्करण 1.3 या उससे पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।

मैं CVE-2011-4140 में Django को कैसे ठीक करूं?

Django के नवीनतम संस्करण (1.2.7 या बाद का) में अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो वेब सर्वर कॉन्फ़िगरेशन को संशोधित करके HTTP Host हेडर को सीमित करें।

क्या CVE-2011-4140 सक्रिय रूप से शोषण किया जा रहा है?

CVE-2011-4140 को सार्वजनिक रूप से उजागर किया गया है और इसके लिए सार्वजनिक PoC मौजूद हैं, इसलिए सक्रिय शोषण की संभावना है।

मैं CVE-2011-4140 के लिए Django आधिकारिक सलाहकार कहां पा सकता हूं?

Django आधिकारिक सलाहकार यहां पाया जा सकता है: https://www.djangoproject.com/weblog/2011/10/19/security-vulnerability-in-django/