PT-2020-5484 · Django+3 · Django+3

Publicado

2020-06-03

·

Atualizado

2026-01-03

·

CVE-2020-13254

CVSS v4.0

8.2

Alta

VetorAV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N
Nome do software vulnerável e versões afetadas
Versões do Django 2.2 anteriores à 2.2.13
Versões do Django 3.0 anteriores à 3.0.7
Descrição
O problema está relacionado a erros no procedimento de autenticação de certificados na biblioteca Django. Isso pode permitir que um invasor remoto obtenha acesso não autorizado a informações protegidas. Nos casos em que um backend memcached não realiza a validação de chaves, a passagem de chaves de cache malformadas pode resultar em uma colisão de chaves e em um possível vazamento de dados.
Recomendações
Para as versões do Django 2.2 anteriores à 2.2.13, atualize para a versão 2.2.13 ou posterior para resolver o problema.
Para as versões do Django 3.0 anteriores à 3.0.7, atualize para a versão 3.0.7 ou posterior para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso ao backend memcached para minimizar o risco de exploração.

Exploit

Correção

Improper Certificate Validation

Information Disclosure

RCE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-295CWE-200CWE-20

Identificadores relacionados

ALT-PU-2020-3491
BDU:2021-00780
BIT-DJANGO-2020-13254
CVE-2020-13254
DLA-2233-1
DLA-2233-2
DSA-4705-1
GHSA-WPJR-J57X-WXFW
OPENSUSE-SU-2024:11205-1
OPENSUSE-SU-2024:13887-1
OPENSUSE-SU-2024:14208-1
OPENSUSE-SU-2026:10005-1
PYSEC-2020-31
RHSA-2021:0915
RHSA-2021:0933
SUSE-RU-2020:2072-1
SUSE-RU-2020:2161-1
SUSE-SU-2020:1901-1
USN-4381-1
USN-4381-2

Produtos afetados

Alt Linux
Django
Linuxmint
Ubuntu