Thibaut Spriet

**Nome do software vulnerável e versões afetadas** Versões 4.2.16, 5.0.9 e 5.1.1 do Django **Descrição** Foi descoberta uma falha na classe django.contrib.auth.forms.PasswordResetForm, que permite que invasores remotos enumerem endereços de e-mail de usuários enviando solicitações de redefinição de senha e observando o resultado quando o envio de e-mails falha consistentemente. Isso ocorre devido a falhas no envio de e-mails que não são tratadas. As exceções que ocorrem durante o envio de e-mails de redefinição de senha agora são tratadas e registradas usando o logger “django.contrib.auth”. **Recomendações** Para as versões 4.2.16, 5.0.9 e 5.1.1 do Django, atualize para uma versão em que as exceções que ocorrem durante o envio de e-mails de redefinição de senha sejam tratadas e registradas usando o logger “django.contrib.auth” para mitigar o risco de enumeração de e-mails de usuários. Como solução alternativa temporária, considere implementar registro personalizado e tratamento de exceções para o envio de e-mails de redefinição de senha, a fim de minimizar o risco de exploração.