Stackered

**Nome do Software Vulnerável e Versões Afetadas** Versões do Django anteriores a 6.0.2 Versões do Django anteriores a 5.2.11 Versões do Django anteriores a 4.2.28 Versões do Django 5.0.x e anteriores Versões do Django 4.1.x e anteriores Versões do Django 3.2.x e anteriores **Descrição** A função `django.contrib.auth.handlers.modwsgi.check password()`, utilizada para autenticação via `mod wsgi`, está suscetível a um ataque de temporização. Isso permite que atacantes remotos potencialmente enumerem usuários. Séries anteriores e não suportadas do Django, incluindo as versões 5.0.x, 4.1.x e 3.2.x, também podem ser afetadas. **Recomendações** Atualize para a versão 6.0.2 ou posterior do Django. Atualize para a versão 5.2.11 ou posterior do Django. Atualize para a versão 4.2.28 ou posterior do Django. Atualize para uma versão suportada do Django para corrigir possíveis problemas em séries anteriores e não suportadas.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Django 4.2 até 4.2.26 Versões do Django 5.1 até 5.1.14 Versões do Django 5.2 até 5.2.8 Versões do Django 5.0.x e anteriores Versões do Django 4.1.x e anteriores Versões do Django 3.2.x e anteriores **Descrição** Existe um problema no Django onde `FilteredRelation` está suscetível a injeção de SQL em aliases de coluna. Isso ocorre quando um dicionário manipulado é usado com expansão de dicionário, como os `**kwargs` passados para `QuerySet.annotate()` ou `QuerySet.alias()` no PostgreSQL. Aproximadamente 1,7 milhão de dispositivos potencialmente afetados foram identificados. O problema envolve o uso das funções `QuerySet.annotate()` e `QuerySet.alias()`, que podem ser exploradas através de aliases de coluna manipulados. O componente vulnerável é `FilteredRelation`. **Recomendações** Atualize para a versão 5.2.9 ou posterior do Django. Atualize para a versão 5.1.15 ou posterior do Django. Atualize para a versão 4.2.27 ou posterior do Django.

**Name of the Vulnerable Software and Affected Versions** Django versions 4.2 through 4.2.24 Django versions 5.1 through 5.1.12 Django versions 5.2 through 5.2.6 **Description** The `django.utils.archive.extract()` function allows for potential directory traversal when handling archives with file paths that share a common prefix with the target directory. This issue affects the "startapp --template" and "startproject --template" commands. **Recommendations** Update to Django version 4.2.25 or later. Update to Django version 5.1.13 or later. Update to Django version 5.2.7 or later.