Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
06/06/2019
Vulnerabilidad en el panel de administración de Django
Se ha publicado una actualización de seguridad para corregir una vulnerabilidad XSS que afecta al panel de administración del framework Django. La criticidad que le han otorgado a la vulnerabilidad es media.La vulnerabilidad reside en el componente ‘AdminURLFieldWidget’. Este es utilizado para la construcción de los campos url de los formularios del modo edición, y su fallo se debe a la falta de validación de la url introducida. Este fallo permitiría a un atacante introducir una URL maliciosa a través de este campo u otro vulnerable del sitio web para que se renderice el enlace con el XSS.
Para que se pueda explotar esta vulnerabilidad es requerido que un usuario con acceso administrador acceda a la edición del registro con la URL maliciosa y haga clic en el enlace adjunto al campo.
Versiones 2.2.2, la 2.1.9 y la 1.11.21 o anteriores
Referencias:CVE-2019-12308
Solución:Se han lanzado parches de seguridad para las versiones 2.2.2, la 2.1.9 y la 1.11.x, el resto de versiones afectadas deben actualizar o aplicar el parche por su cuenta. No recibirá actualizaciones la versión 2.0.x por no tener soporte desde abril.
Notas:Más información aquí.