Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

07/08/2019

Noves vulnerabilitats en Django

S'han publicat 4 vulnerabilitats en Django, les quals podrien causar denegació de servei i injecció SQL.

Es tracta d'un entorn de treball de codi obert basat en Python per al desenvolupament de llocs web.

• La primera vulnerabilitat existeix en els mètodes ‘chars’ i ‘words’ de la classe "django.utils.text.Truncator".
  
• La segona apareix en el mètode "django.utils.html.strip_tags".
• La tercera s'associa amb les classes per a PostgreSQL "django.contrib.postgres.fields.JSONField" i "django.contrib.postgres.fields.HstoreField".
  
• I l'última, es troba en la funció "django.utils.encoding.uri_to_iri".

Més informació.

Sistemes Afectats:

Les versions afectades són:

• 2.2
• 2.1
• 1.11

Referències:

CVE-2019-14232, CVE-2019-14233, CVE-2019-14234, CVE-2019-14235

Solució:

Actualitzar a les versions:

• 2.2.4
• 2.1.11
• 1.11.23

Notes:

Més informació:

Django security releases issued: 2.2.4, 2.1.11 and 1.11.23
https://www.djangoproject.com/weblog/2019/aug/01/security-releases/

CSIRT-CV