Vulnerabilidad en django.contrib.admindocs en la visualización TemplateDetailView en Django (CVE-2021-33203)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-22
Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
08/06/2021
Última modificación:
07/11/2023
Descripción
Django versiones anteriores a 2.2.24, versiones 3.x anteriores a 3.1.12 y versiones 3.2.x anteriores a 3.2.4, presenta un potencial salto de directorio por medio de django.contrib.admindocs. Los miembros del personal podrían usar la visualización TemplateDetailView para comprobar la existencia de archivos arbitrarios. Adicionalmente, si (y sólo si) las plantillas admindocs por defecto han sido personalizadas por los desarrolladores de aplicaciones para mostrar también el contenido de los archivos, entonces no sólo se habría expuesto la existencia sino también el contenido de los archivos. En otras palabras, se presenta un salto de directorio fuera de los directorios root de las plantillas
Impacto
Puntuación base 3.x
4.90
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:djangoproject:django:*:*:*:*:*:*:*:* | 2.2.24 (excluyendo) | |
| cpe:2.3:a:djangoproject:django:*:*:*:*:*:*:*:* | 3.0.0 (incluyendo) | 3.1.12 (excluyendo) |
| cpe:2.3:a:djangoproject:django:*:*:*:*:*:*:*:* | 3.2.0 (incluyendo) | 3.2.4 (excluyendo) |
| cpe:2.3:o:fedoraproject:fedora:35:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://docs.djangoproject.com/en/3.2/releases/security/
- https://groups.google.com/forum/#%21forum/django-announce
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/B4SQG2EAF4WCI2SLRL6XRDJ3RPK3ZRDV/
- https://security.netapp.com/advisory/ntap-20210727-0004/
- https://www.djangoproject.com/weblog/2021/jun/02/security-releases/