Django sérülékenységek

CH azonosító

CH-7304

Angol cím

Django Cross-Site Scripting and Two Denial of Service Vulnerabilities

Felfedezés dátuma

2012.07.30.

Súlyosság

Közepes

Érintett rendszerek

Django
Django Software Foundation

Érintett verziók

Django 1.3.x, 1.4.x

Összefoglaló

A Django számos sérülékenységét jelentették, amelyeket kihasználva a támadók cross-site scripting (XSS/CSS) támadást indíthatnak, és szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő.

Leírás

  1. A hitelesítési keretrendszeren (authentication framework) belül a login() vagy logout() nézetek átirányítási függvénynek átadott bemeneti adat nincs megfelelően megtisztítva mielőtt a “data:” URL-en keresztül visszakerülne a felhasználóhoz. Ezt kihasználva, tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.
  2. Az ImageField osztály egy hibája miatt, ami a képek érvényesítésében azok kibontásakor lép fel, a rendelkezésre álló teljes memóriát le lehet foglalni.
  3. Az ImageFile osztály egy hibája miatt, ami a képek méreteinek kiszámításakor jelentkezik, le lehet kötni a szerver erőforrásait, ami az alkalmazás válaszképtelenségéhez vezethet.

A sérülékenységeket a 1.3 és 1.4 verziókban jelentették, de más kiadások is érintettek lehetnek.

Megoldás

Frissítsen a legújabb verzióra

Legfrissebb sérülékenységek
CVE-2024-29944 – Mozilla Firefox ESR sérülékenysége
CVE-2024-29943 – Mozilla Firefox sérülékenysége
CVE-2024-28916 – Xbox Gaming Services sérülékenysége
CVE-2023-46808 – Ivanti Neurons for ITSM sérülékenysége
CVE-2024-2169 – UDP sérülékenysége
CVE-2023-41724 – Ivanti Standalone Sentry sérülékenysége
CVE-2024-27957 – Pie Register sérülékenysége
CVE-2024-25153 – Fortra FileCatalyst sérülékenysége
CVE-2024-21407 – Windows Hyper-V sérülékenysége
CVE-2024-21390 – Microsoft Authenticator sérülékenysége
Tovább a sérülékenységekhez »