Django emite actualización crítica por vulnerabilidades

Iniciado por AXCESS, Diciembre 08, 2024, 11:07:13 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Diciembre 08, 2024, 11:07:13 PM Ultima modificación: Diciembre 08, 2024, 11:10:06 PM por AXCESS
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El equipo de Django ha publicado actualizaciones de seguridad críticas para las versiones 5.1.4, 5.0.10 y 4.2.17.

Estas actualizaciones solucionan dos vulnerabilidades: un posible ataque de denegación de servicio (DoS) en el método strip_tags() y un riesgo de inyección SQL de alta gravedad en las bases de datos de Oracle.

Se recomienda encarecidamente a todos los desarrolladores y administradores de sistemas que utilicen versiones afectadas que actualicen a las versiones recién publicadas para garantizar la seguridad de sus aplicaciones.

CVE-2024-53907: Posible denegación de servicio en strip_tags()

Esta vulnerabilidad afecta al método django.utils.html.strip_tags() y al filtro de plantilla striptags, que son propensos a un ataque DoS.

El problema surge en escenarios en los que estos métodos manejan entradas que contienen secuencias extensas de entidades HTML anidadas e incompletas.

Cuando se procesan dichas entradas, la aplicación puede experimentar una degradación significativa del rendimiento.

Esta vulnerabilidad fue reportada por jiangniao y ha sido clasificada como de gravedad moderada según la política de seguridad de Django. Las versiones afectadas incluyen Django main, 5.1, 5.0 y 4.2.

CVE-2024-53908: Posible inyección SQL en HasKey(lhs, rhs) en Oracle


Se identificó una segunda vulnerabilidad en la búsqueda HasKey, que forma parte del módulo django.db.models.fields.json.

En las bases de datos Oracle, esta búsqueda se puede explotar para la inyección SQL si se pasan datos no confiables como valor del lado izquierdo (lhs). Sin embargo, las aplicaciones que utilizan la búsqueda jsonfield.has_key a través de la sintaxis de doble guión bajo (__) no se ven afectadas.

El equipo de seguridad de Django ha clasificado esta vulnerabilidad como de alta gravedad y fue informada por Seokchan Yoon. Al igual que el problema anterior, las versiones afectadas incluyen Django main, 5.1, 5.0 y 4.2.

Versiones compatibles afectadas

La siguiente tabla detalla las versiones afectadas por estas vulnerabilidades y las versiones parcheadas correspondientes disponibles en esta versión:

Estado de la versión >>> Versión parcheada


Django 5.1 Afectada  >>> 5.1.4
Django 5.0 Afectada  >>> 5.0.10
Django 4.2 Afectada  >>> 4.2.17

Resolución y parches

El equipo de Django ha abordado estos problemas mediante la publicación de parches para la rama de desarrollo principal y versiones compatibles anteriores, específicamente 5.1, 5.0 y 4.2.

Las últimas actualizaciones (Django 5.1.4, 5.0.10 y 4.2.17) ya están disponibles para su descarga. Las actualizaciones resuelven de manera integral las vulnerabilidades asociadas con CVE-2024-53907 y CVE-2024-53908.

Los usuarios pueden acceder a las versiones parcheadas a través del sitio web oficial de Django. Las versiones se firmaron con la clave PGP que pertenece a Sarah Boyce (ID: 3955B19851EA96EF).

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Para mitigar estos riesgos, se recomienda a los usuarios de Django que actualicen sus aplicaciones a las últimas versiones parcheadas de inmediato.

Además, los desarrolladores deben revisar sus bases de código para detectar el uso de métodos o búsquedas vulnerables, especialmente en bases de datos Oracle.

Mantenerse informado sobre futuras versiones de seguridad a través de los canales oficiales de Django es crucial para mantener la seguridad y la estabilidad de las aplicaciones.

Fuente:
Django
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Vía:
gbhackers
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta