Vulnerabilidad en Django (CVE-2010-4535)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
10/01/2011
Última modificación:
11/04/2025
Descripción
La funcionalidad de restablecimiento de contraseña en django.contrib.auth en Django antes de v1.1.3, v1.2.x antes de v1.2.4, y v1.3.x antes de v1.3 beta 1 no valida la longitud de una cadena que representa una marca de tiempo en base36, que permite a atacantes remotos ausar una denegación de servicio (consumo de recursos) a través de una URL que especifica un gran número entero en base36.
Impacto
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:djangoproject:django:*:*:*:*:*:*:*:* | 1.1.2 (incluyendo) | |
| cpe:2.3:a:djangoproject:django:0.91:*:*:*:*:*:*:* | ||
| cpe:2.3:a:djangoproject:django:0.95:*:*:*:*:*:*:* | ||
| cpe:2.3:a:djangoproject:django:0.95.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:djangoproject:django:0.96:*:*:*:*:*:*:* | ||
| cpe:2.3:a:djangoproject:django:1.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:djangoproject:django:1.0.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:djangoproject:django:1.0.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:djangoproject:django:1.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:djangoproject:django:1.1.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:djangoproject:django:1.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:djangoproject:django:1.2.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:djangoproject:django:1.2.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:djangoproject:django:1.2.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:djangoproject:django:1.3:alpha1:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://code.djangoproject.com/changeset/15032
- http://lists.fedoraproject.org/pipermail/package-announce/2011-January/053041.html
- http://lists.fedoraproject.org/pipermail/package-announce/2011-January/053072.html
- http://secunia.com/advisories/42715
- http://secunia.com/advisories/42827
- http://secunia.com/advisories/42913
- http://www.djangoproject.com/weblog/2010/dec/22/security/
- http://www.openwall.com/lists/oss-security/2010/12/23/4
- http://www.openwall.com/lists/oss-security/2011/01/03/5
- http://www.securityfocus.com/bid/45563
- http://www.ubuntu.com/usn/USN-1040-1
- http://www.vupen.com/english/advisories/2011/0048
- http://www.vupen.com/english/advisories/2011/0098
- https://bugzilla.redhat.com/show_bug.cgi?id=665373
- http://code.djangoproject.com/changeset/15032
- http://lists.fedoraproject.org/pipermail/package-announce/2011-January/053041.html
- http://lists.fedoraproject.org/pipermail/package-announce/2011-January/053072.html
- http://secunia.com/advisories/42715
- http://secunia.com/advisories/42827
- http://secunia.com/advisories/42913
- http://www.djangoproject.com/weblog/2010/dec/22/security/
- http://www.openwall.com/lists/oss-security/2010/12/23/4
- http://www.openwall.com/lists/oss-security/2011/01/03/5
- http://www.securityfocus.com/bid/45563
- http://www.ubuntu.com/usn/USN-1040-1
- http://www.vupen.com/english/advisories/2011/0048
- http://www.vupen.com/english/advisories/2011/0098
- https://bugzilla.redhat.com/show_bug.cgi?id=665373