Vulnerabilidad en Django (CVE-2019-6975)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
11/02/2019
Última modificación:
07/11/2023
Descripción
Django, en versiones 1.11.x anteriores a la 1.11.19, versiones 2.0.x anteriores a la 2.0.11 y versiones 2.1.x anteriores a la 2.1.6, permite el consumo incontrolado de memoria mediante un valor malicioso proporcionado por el atacante a la función django.utils.numberformat.format().
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:djangoproject:django:*:*:*:*:*:*:*:* | 1.11.0 (incluyendo) | 1.11.19 (excluyendo) |
| cpe:2.3:a:djangoproject:django:*:*:*:*:*:*:*:* | 2.0.0 (incluyendo) | 2.0.11 (excluyendo) |
| cpe:2.3:a:djangoproject:django:*:*:*:*:*:*:*:* | 2.1.0 (incluyendo) | 2.1.6 (excluyendo) |
| cpe:2.3:o:canonical:ubuntu_linux:16.04:*:*:*:lts:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:18.04:*:*:*:lts:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:18.10:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:28:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:29:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.securityfocus.com/bid/106964
- https://docs.djangoproject.com/en/dev/releases/security/
- https://groups.google.com/forum/#%21topic/django-announce/WTwEAprR0IQ
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/66WMXHGBXD7GSM3PEXVCMCAGLMQYHZCU/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/HVXDOVCXLD74SHR2BENGCE2OOYYYWJHZ/
- https://seclists.org/bugtraq/2019/Jul/10
- https://usn.ubuntu.com/3890-1/
- https://www.debian.org/security/2019/dsa-4476
- https://www.djangoproject.com/weblog/2019/feb/11/security-releases/
- https://www.openwall.com/lists/oss-security/2019/02/11/1