Vulnerabilidad en Django (CVE-2019-12308)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
03/06/2019
Última modificación:
07/11/2023
Descripción
Se descubrió un problema en Django 1.11 antes de 1.11.21, 2.1 anterior de la versión 2.1.9 y 2.2 anterior de la versión 2.2.2. El valor de la URL actual en la que se puede hacer clic, mostrado por el AdminURLFieldWidget, muestra el valor proporcionado sin validarlo como una URL segura. Por lo tanto, un valor no validado almacenado en la base de datos, o un valor proporcionado como una carga útil del parámetro de consulta de URL, podría resultar en un enlace de JavaScript que se puede hacer clic.
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:djangoproject:django:*:*:*:*:*:*:*:* | 1.11 (incluyendo) | 1.11.21 (excluyendo) |
| cpe:2.3:a:djangoproject:django:*:*:*:*:*:*:*:* | 2.1 (incluyendo) | 2.1.9 (excluyendo) |
| cpe:2.3:a:djangoproject:django:*:*:*:*:*:*:*:* | 2.2 (incluyendo) | 2.2.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://lists.opensuse.org/opensuse-security-announce/2019-08/msg00006.html
- http://lists.opensuse.org/opensuse-security-announce/2019-08/msg00025.html
- http://www.openwall.com/lists/oss-security/2019/06/03/2
- http://www.securityfocus.com/bid/108559
- https://docs.djangoproject.com/en/dev/releases/1.11.21/
- https://docs.djangoproject.com/en/dev/releases/2.1.9/
- https://docs.djangoproject.com/en/dev/releases/2.2.2/
- https://docs.djangoproject.com/en/dev/releases/security/
- https://groups.google.com/forum/#%21topic/django-announce/GEbHU7YoVz8
- https://lists.debian.org/debian-lts-announce/2019/06/msg00001.html
- https://lists.debian.org/debian-lts-announce/2019/07/msg00001.html
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/USYRARSYB7PE3S2ZQO7PZNWMH7RPGL5G/
- https://seclists.org/bugtraq/2019/Jul/10
- https://security.gentoo.org/glsa/202004-17
- https://usn.ubuntu.com/4043-1/
- https://www.debian.org/security/2019/dsa-4476
- https://www.djangoproject.com/weblog/2019/jun/03/security-releases/