PT-2020-15025 · Django+1 · Django-Celery-Results+1
Publicado
2020-08-11
·
Atualizado
2021-06-04
·
CVE-2020-17495
CVSS v4.0
8.7
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do django-celery-results anteriores à 2.4.0
Versão 1.2.1 do django-celery-results
Descrição
O problema diz respeito ao armazenamento de resultados de tarefas no banco de dados, que podem incluir informações confidenciais em texto simples passadas para as tarefas como variáveis. Essas informações confidenciais não devem permanecer não criptografadas no banco de dados.
Recomendações
Para versões do django-celery-results anteriores à 2.4.0, considere desativar o armazenamento de resultados de tarefas no banco de dados ou certifique-se de que quaisquer variáveis confidenciais sejam devidamente criptografadas antes do armazenamento.
Para a versão 1.2.1 do django-celery-results, atualize para uma versão em que o comportamento padrão não armazene mais informações confidenciais sem criptografia, como a versão 2.4.0 ou posterior, e tenha cuidado com o sinalizador
result extended para evitar o armazenamento de variáveis confidenciais sem a devida limpeza.Correção
Cleartext Storage of Sensitive Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Debian
Django-Celery-Results