ID CVE-2015-0219
Summary Django before 1.4.18, 1.6.x before 1.6.10, and 1.7.x before 1.7.3 allows remote attackers to spoof WSGI headers by using an _ (underscore) character instead of a - (dash) character in an HTTP header, as demonstrated by an X-Auth_User header.
References
Vulnerable Configurations
  • cpe:2.3:a:djangoproject:django:0.95:*:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:0.95:*:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:0.96:*:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:0.96:*:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.0:*:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.0:*:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.0:alpha1:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.0:alpha1:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.0:alpha2:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.0:alpha2:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.0:beta:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.0:beta:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.0:beta2:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.0:beta2:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.0.1:*:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.0.1:*:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.0.2:*:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.0.2:*:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.1:*:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.1:*:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.1:alpha1:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.1:alpha1:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.1:beta1:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.1:beta1:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.1:rc1:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.1:rc1:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.1.2:*:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.1.2:*:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.1.3:*:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.1.3:*:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.1.4:*:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.1.4:*:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.2:*:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.2:*:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.2:beta1:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.2:beta1:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.2:rc1:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.2:rc1:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.2-alpha1:*:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.2-alpha1:*:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.2.1:*:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.2.1:*:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.2.2:*:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.2.2:*:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.2.3:*:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.2.3:*:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.2.4:*:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.2.4:*:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.2.5:*:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.2.5:*:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.2.6:*:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.2.6:*:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.2.7:*:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.2.7:*:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.3:*:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.3:*:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.3:alpha1:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.3:alpha1:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.3:beta1:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.3:beta1:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.3.1:*:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.3.1:*:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.3.2:*:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.3.2:*:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.3.3:*:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.3.3:*:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.3.4:*:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.3.4:*:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.3.5:*:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.3.5:*:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.3.6:*:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.3.6:*:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.3.7:*:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.3.7:*:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.4:*:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.4:*:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.4.1:*:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.4.1:*:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.4.2:*:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.4.2:*:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.4.3:*:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.4.3:*:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.4.4:*:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.4.4:*:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.4.5:*:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.4.5:*:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.4.6:*:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.4.6:*:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.4.7:*:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.4.7:*:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.4.8:*:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.4.8:*:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.4.9:*:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.4.9:*:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.4.10:*:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.4.10:*:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.4.11:*:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.4.11:*:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.4.12:*:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.4.12:*:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.4.13:*:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.4.13:*:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.4.14:*:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.4.14:*:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.4.15:*:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.4.15:*:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.4.16:*:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.4.16:*:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.4.17:*:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.4.17:*:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.6:*:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.6:*:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.6.1:*:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.6.1:*:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.6.2:*:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.6.2:*:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.6.3:*:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.6.3:*:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.6.4:*:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.6.4:*:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.6.5:*:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.6.5:*:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.6.6:*:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.6.6:*:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.6.7:*:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.6.7:*:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.6.8:*:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.6.8:*:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.6.9:*:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.6.9:*:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.7:*:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.7:*:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.7.1:*:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.7.1:*:*:*:*:*:*:*
  • cpe:2.3:a:djangoproject:django:1.7.2:*:*:*:*:*:*:*
    cpe:2.3:a:djangoproject:django:1.7.2:*:*:*:*:*:*:*
CVSS
Base: 5.0 (as of 22-12-2016 - 02:59)
Impact:
Exploitability:
CWE CWE-17
CAPEC
Access
VectorComplexityAuthentication
NETWORK LOW NONE
Impact
ConfidentialityIntegrityAvailability
NONE PARTIAL NONE
cvss-vector via4 AV:N/AC:L/Au:N/C:N/I:P/A:N
refmap via4
confirm
fedora
  • FEDORA-2015-0714
  • FEDORA-2015-0790
  • FEDORA-2015-0804
mandriva
  • MDVSA-2015:036
  • MDVSA-2015:109
secunia
  • 62285
  • 62309
  • 62718
suse
  • openSUSE-SU-2015:0643
  • openSUSE-SU-2015:1598
ubuntu USN-2469-1
Last major update 22-12-2016 - 02:59
Published 16-01-2015 - 16:59
Last modified 22-12-2016 - 02:59
Back to Top