Vulnerabilidad en Django-Unicorn (CVE-2025-24370)

Gravedad CVSS v4.0:

CRÍTICA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

03/02/2025

Última modificación:

03/02/2025

Descripción

Django-Unicorn agrega funcionalidad de componente reactivo moderno a las plantillas de Django. Las versiones afectadas de Django-Unicorn son vulnerables a la vulnerabilidad de contaminación de clases de Python. La vulnerabilidad surge de la funcionalidad principal `set_property_value`, que puede ser activada remotamente por los usuarios al manipular solicitudes de componentes apropiadas y proporcionar valores del segundo y tercer parámetro a la función vulnerable, lo que lleva a cambios arbitrarios en el estado de ejecución de Python. Con este hallazgo, se han observado al menos cinco formas de explotación de vulnerabilidades, que resultan de manera estable en ataques de Cross-Site Scripting (XSS), Denial of Service (DoS) y Authentication Bypass en casi todas las aplicaciones basadas en Django-Unicorn. Este problema se ha solucionado en la versión 0.62.0 y se recomienda a todos los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 9.30 CRÍTICA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Alto
Availability (VA): Alto
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0

9.30

Gravedad 4.0

CRÍTICA

Vulnerabilidad en Django-Unicorn (CVE-2025-24370)

Descripción

Impacto

Referencias a soluciones, herramientas e información