Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
06/06/2019
Vulnerabilitat en el panell d'administració de Django
S'ha publicat una actualització de seguretat per a corregir una vulnerabilitat XSS que afecta el panell d'administració del framework Django. La criticitat que han atorgat a la vulnerabilitat és mitjana.La vulnerabilitat resideix en el component ‘AdminURLFieldWidget’. Aquest és utilitzat per a la construcció dels camps URL dels formularis de la manera edició, i la seua fallada es deu a la falta de validació de la URL introduïda. Aquesta fallada permetria a un atacant introduir una URL maliciosa a través d'aquest camp o un altre vulnerable del lloc web, perquè es renderitze l'enllaç amb l’XSS.
Perquè es puga explotar aquesta vulnerabilitat cal que un usuari amb accés administrador, accedisca a l'edició del registre amb la URL maliciosa i clique en l'enllaç adjunt al camp.
Sistemes Afectats:Versions 2.2.2, la 2.1.9 i la 1.11.21 o anteriors.
Referències:CVE-2019-12308
Solució:S'han llançat pedaços de seguretat per a les versions 2.2.2, la 2.1.9 i la 1.11.x; la resta de versions afectades han d'actualitzar o aplicar el pedaç pel seu compte. No rebrà actualitzacions la versió 2.0.x per no tindre suport des d'abril.
Notes:Més informació ací.