CVE-2020-15225

Versões do django-filter anteriores à 2.4.0

O problema diz respeito às instâncias NumberFilter geradas automaticamente no django-filter, que estão sujeitas a possíveis ataques de Negação de Serviço (DoS) decorrentes de entradas maliciosas que utilizam o formato exponencial com expoentes suficientemente grandes. Isso ocorre quando o valor é posteriormente convertido em um número inteiro. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado. Não há informações sobre incidentes reais em que essa vulnerabilidade tenha sido explorada.

Para versões anteriores à 2.4.0, considere atualizar para a versão 2.4.0 ou posterior, que aplica um MaxValueValidator com um limit value padrão de 1e50 ao campo de formulário usado pelas instâncias NumberFilter.

Como solução alternativa temporária, os usuários podem aplicar manualmente um validador equivalente caso não consigam atualizar.

Além disso, o NumberFilter implementa o novo get max validator(), que deve retornar uma instância de validador configurada para personalizar o limite ou, caso contrário, None para desativar a validação adicional.