PT-2020-18320 · Django · Django-User-Sessions
Bouke
·
Publicado
2020-01-24
·
Atualizado
2020-01-29
·
CVE-2020-5224
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do django-user-sessions anteriores à 1.7.1
Descrição
As visualizações fornecidas pelo django-user-sessions permitem que os usuários encerrem sessões específicas, e a chave de sessão é incluída no HTML renderizado. Isso não é um problema em si, mas se o site tiver uma vulnerabilidade XSS, a chave de sessão poderá ser extraída pelo invasor, levando potencialmente à apropriação da sessão.
Recomendações
Para versões anteriores à 1.7.1, remova a session key do modelo como uma solução alternativa até que um patch esteja disponível.
Correção
Improper Authentication
Inadequate Encryption Strength
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Django-User-Sessions