Vulnerabilidad en Multipart Request Parser de Django (CVE-2023-24580)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-400
Consumo de recursos no controlado (Agotamiento de recursos)
Fecha de publicación:
15/02/2023
Última modificación:
18/03/2025
Descripción
Se descubrió un problema en Multipart Request Parser de Django 3.2 anterior a 3.2.18, 4.0 anterior a 4.0.10 y 4.1 anterior a 4.1.7. Pasar ciertas entradas (por ejemplo, una cantidad excesiva de partes) a formularios de varias partes podría generar demasiados archivos abiertos o agotamiento de la memoria, y proporcionaba un vector potencial para un ataque de denegación de servicio.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:djangoproject:django:*:*:*:*:*:*:*:* | 3.2 (incluyendo) | 3.2.18 (excluyendo) |
| cpe:2.3:a:djangoproject:django:*:*:*:*:*:*:*:* | 4.0 (incluyendo) | 4.0.10 (excluyendo) |
| cpe:2.3:a:djangoproject:django:*:*:*:*:*:*:*:* | 4.1 (incluyendo) | 4.1.7 (excluyendo) |
| cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.openwall.com/lists/oss-security/2023/02/14/1
- https://docs.djangoproject.com/en/4.1/releases/security/
- https://groups.google.com/forum/#%21forum/django-announce
- https://lists.debian.org/debian-lts-announce/2023/02/msg00023.html
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/FKYVMMR7RPM6AHJ2SBVM2LO6D3NGFY7B/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/HWY6DQWRVBALV73BPUVBXC3QIYUM24IK/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/LTZVAKU5ALQWOKFTPISE257VCVIYGFQI/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/VZS4G6NSZWPTVXMMZHJOJVQEPL3QTO77/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/YJB6FUBBLVKKG655UMTLQNN6UQ6EDLSP/
- https://security.netapp.com/advisory/ntap-20230316-0006/
- https://www.djangoproject.com/weblog/2023/feb/14/security-releases/
- http://www.openwall.com/lists/oss-security/2023/02/14/1
- https://docs.djangoproject.com/en/4.1/releases/security/
- https://groups.google.com/forum/#%21forum/django-announce
- https://lists.debian.org/debian-lts-announce/2023/02/msg00023.html
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/FKYVMMR7RPM6AHJ2SBVM2LO6D3NGFY7B/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/HWY6DQWRVBALV73BPUVBXC3QIYUM24IK/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/LTZVAKU5ALQWOKFTPISE257VCVIYGFQI/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/VZS4G6NSZWPTVXMMZHJOJVQEPL3QTO77/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/YJB6FUBBLVKKG655UMTLQNN6UQ6EDLSP/
- https://security.netapp.com/advisory/ntap-20230316-0006/
- https://www.djangoproject.com/weblog/2023/feb/14/security-releases/