Thibaud Colas

**Name of the Vulnerable Software and Affected Versions** Wagtail versions 1.5 through 4.1.3 Wagtail versions 1.5 through 4.2.1 **Description** A stored cross-site scripting (XSS) vulnerability exists on ModelAdmin views within the Wagtail admin interface. A user with a limited-permission editor account for the Wagtail admin could potentially craft pages and documents that, when viewed by a user with higher privileges, could perform actions with that user's credentials. The vulnerability is not exploitable by an ordinary site visitor without access to the Wagtail admin, and only affects sites with ModelAdmin enabled. For pages, the vulnerability is in the "Choose a parent page" ModelAdmin view (`ChooseParentView`), available when managing pages via ModelAdmin. For documents, the vulnerability is in the ModelAdmin Inspect view (`InspectView`) when displaying document fields. **Recommendations** For Wagtail versions 1.5 through 4.1.3, update to version 4.1.4 to resolve the issue. For Wagtail versions 1.5 through 4.2.1, update to version 4.2.2 to resolve the issue. As a temporary workaround, site owners who are unable to upgrade to the new versions can disable or override the corresponding functionality. For `ChooseParentView`, disable ModelAdmin for all page models or provide a custom view via `choose parent view class`, with the custom view overriding the `get form` method. For `InspectView`, remove `inspect view enabled=True` or set it to False to disable the view, or use `inspect view fields` or `inspect view fields exclude` to prevent displaying document fields in the views, or provide a custom view via `inspect view class`, with the custom view overriding the `get document field display` method.

**Nome do software vulnerável e versões afetadas** Versões do django-basic-auth-ip-whitelist anteriores à 0.3.4 **Descrição** Existe um potencial ataque de temporização em sites onde a autenticação básica é usada ou configurada, ou seja, onde `BASIC AUTH LOGIN` e `BASIC AUTH PASSWORD` estão definidos. A comparação de strings entre as credenciais configuradas e as fornecidas pelos usuários é realizada por meio de uma comparação caractere a caractere, permitindo que um invasor cronometre a validação de diferentes nomes de usuário e senhas e use esse conhecimento para descobrir as credenciais válidas. Entende-se que esse ataque não seja realista na Internet, mas pode ser realizado a partir de redes locais onde o site está hospedado. Sites protegidos apenas por lista de endereços IP permitidos não são afetados por esse problema. **Recomendações** Atualize para a versão 0.3.4 o mais rápido possível e altere o nome de usuário e a senha de autenticação básica configurados em um projeto Django que utilize este pacote. Como solução alternativa temporária, considere interromper o uso da autenticação básica e utilizar apenas o componente de lista de endereços IP permitidos, não definindo `BASIC AUTH LOGIN` e `BASIC AUTH PASSWORD` nas configurações do projeto Django.

**Nome do software vulnerável e versões afetadas** Versões do Wagtail anteriores à 2.7.3 Versões do Wagtail anteriores à 2.8.2 **Descrição** Existe um potencial ataque de temporização em páginas ou documentos protegidos por uma senha compartilhada por meio dos controles de “Privacidade” do Wagtail. Essa verificação de senha é realizada por meio de uma comparação de cadeia de caracteres, caractere por caractere; portanto, um invasor capaz de medir o tempo gasto nessa verificação com alto grau de precisão poderia potencialmente usar as diferenças de tempo para descobrir a senha. Entende-se que isso seja viável em uma rede local, mas não na Internet pública. As configurações de privacidade que restringem o acesso a páginas/documentos por usuário ou por grupo (em oposição a uma senha compartilhada) não são afetadas por este problema. **Recomendações** Para versões anteriores à 2.7.3, atualize para a versão 2.7.3 ou posterior para resolver o problema. Para versões anteriores à 2.8.2, atualize para a versão 2.8.2 ou posterior para resolver o problema. Como solução alternativa temporária, considere usar restrições de privacidade baseadas em usuário ou grupo para restringir o acesso a informações confidenciais, pois estas não são afetadas por este problema.