CVE-2020-15105

Versões do Django Two-Factor Authentication anteriores à 1.12

A vulnerabilidade permite que a senha de um usuário seja armazenada em texto simples na sessão do usuário, podendo ser codificada em base64. Isso ocorre quando um usuário envia seu nome de usuário e senha e é removida após a conclusão da autenticação de dois fatores. A gravidade desse problema depende do tipo de armazenamento de sessão configurado, sendo o pior caso o armazenamento de sessão em banco de dados, onde as senhas são armazenadas em texto simples no banco de dados, e o melhor caso o armazenamento de sessão em cookie assinado, onde as senhas são armazenadas em texto simples apenas no armazenamento de cookies do navegador. No caso comum de uso de armazenamento de sessão em cache, as senhas são armazenadas em texto simples no armazenamento de cache configurado, normalmente Memcached ou Redis. Após a atualização para uma versão corrigida, os usuários devem excluir todas as senhas em texto simples armazenadas, como registros de sessão do banco de dados, e eliminar esses dados de backups ou réplicas. As organizações afetadas que sofreram uma violação de banco de dados devem informar aos usuários que suas senhas em texto simples foram comprometidas, e todas as organizações devem incentivar os usuários a alterar senhas armazenadas de forma insegura em quaisquer sites onde elas tenham sido utilizadas.

Para versões anteriores à 1.12, atualize para a versão 1.12 para resolver o problema.

Após a atualização, exclua todas as senhas em texto simples que tenham sido armazenadas, como registros de sessão do banco de dados, e elimine esses dados de