CVE-2023-31047
Severidad:
CRÍTICA
Type:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
07/05/2023
Última modificación:
07/11/2023
Descripción
*** Pendiente de traducción *** In Django 3.2 before 3.2.19, 4.x before 4.1.9, and 4.2 before 4.2.1, it was possible to bypass validation when using one form field to upload multiple files. This multiple upload has never been supported by forms.FileField or forms.ImageField (only the last uploaded file was validated). However, Django's "Uploading multiple files" documentation suggested otherwise.
Impacto
Puntuación base 3.x
9.80
Severidad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:djangoproject:django:*:*:*:*:*:*:*:* | 3.2 (incluyendo) | 3.2.19 (excluyendo) |
| cpe:2.3:a:djangoproject:django:*:*:*:*:*:*:*:* | 4.0 (incluyendo) | 4.1.9 (excluyendo) |
| cpe:2.3:a:djangoproject:django:4.2:-:*:*:*:*:*:* | ||
| cpe:2.3:a:djangoproject:django:4.2:b1:*:*:*:*:*:* | ||
| cpe:2.3:a:djangoproject:django:4.2:rc1:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:38:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://docs.djangoproject.com/en/4.2/releases/security/
- https://groups.google.com/forum/#%21forum/django-announce
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/A45VKTUVQ2BN6D5ZLZGCM774R6QGFOHW/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/DNEHD6N435OE2XUFGDAAVAXSYWLCUBFD/
- https://security.netapp.com/advisory/ntap-20230609-0008/
- https://www.djangoproject.com/weblog/2023/may/03/security-releases/