Elias Myllymäki

**Nome do Software Vulnerável e Versões Afetadas** Versões do Django 4.2 até 4.2.20 Versões do Django 5.1 até 5.1.8 Versões do Django 5.2 até 5.2.0 **Descrição** Foi descoberto um problema no Django, onde a função `django.utils.html.strip tags()` é vulnerável a uma potencial negação de serviço (desempenho lento) ao processar entradas contendo grandes sequências de tags HTML incompletas. O filtro de template `striptags` também é vulnerável, pois é construído sobre o `strip tags()`. Este problema pode ser explorado por atacantes para derrubar servidores via HTML malformado. **Recomendações** Para as versões do Django 4.2 até 4.2.20, atualize para a versão 4.2.21 ou posterior. Para as versões do Django 5.1 até 5.1.8, atualize para a versão 5.1.9 ou posterior. Para as versões do Django 5.2 até 5.2.0, atualize para a versão 5.2.1 ou posterior. Como solução temporária, considere desabilitar a função `strip tags()` ou restringir o uso do filtro de template `striptags` até que uma correção esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do Django 4.2 a 4.2.14 Versões do Django 5.0 a 5.0.7 **Descrição** A vulnerabilidade está relacionada à função `floatformat()` do Django, que pode levar a um consumo descontrolado de recursos. Isso pode ser explorado por um invasor remoto para causar uma negação de serviço. O filtro de modelo `floatformat` está sujeito a um consumo significativo de memória quando recebe uma representação em string de um número em notação científica com um expoente grande. **Recomendações** Para as versões do Django 4.2 a 4.2.14, atualize para a versão 4.2.15 ou posterior. Para as versões 5.0 a 5.0.7 do Django, atualize para a versão 5.0.8 ou posterior. Como solução temporária, considere restringir o uso do filtro de modelo `floatformat` para minimizar o risco de exploração. Evite usar o filtro `floatformat` com strings de entrada que contenham expoentes grandes em notação científica até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do Django 4.2 a 4.2.13 Versões do Django 5.0 a 5.0.6 **Descrição** O problema está relacionado a um potencial ataque de negação de serviço por meio de determinadas entradas com um número muito grande de colchetes nas funções `urlize` e `urlizetrunc`. Isso pode causar consumo descontrolado de recursos devido à baixa complexidade temporal de `strip punctuation`. A vulnerabilidade pode permitir que um invasor remoto cause uma negação de serviço. **Recomendações** Para as versões do Django 4.2 a 4.2.13, atualize para a versão 4.2.14 ou posterior. Para as versões 5.0 a 5.0.6 do Django, atualize para a versão 5.0.7 ou posterior. Como solução temporária, considere restringir o uso das funções `urlize` e `urlizetrunc` até que um patch esteja disponível. Evite usar essas funções com entradas não confiáveis para minimizar o risco de exploração.