Django

Django的密码重置表单使用不区分大小写的查询来获取输入的邮箱地址对应的账号。一个知道邮箱地址和账号对应关系的攻击者可以精心构造一个和该账号邮箱地址不同,但经过Unicode大小写转换后相同的邮箱地址,来接收该账户的密码重置邮件。
Django于1月4日发布更新安全通告,其中提到了修复了新的CVE-2019-3498漏洞。今日有博客发布了关于漏洞的简单介绍。