PT-2020-5504 · Django Software Foundation+4 · Django+4

Publicado

2020-09-01

·

Atualizado

2026-01-03

·

CVE-2020-24583

CVSS v4.0

8.7

Alta

VetorAV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N
Nome do software vulnerável e versões afetadas
Versões do Django 2.2 a 2.2.15
Versões do Django 3.0 a 3.0.9
Versões do Django 3.1 a 3.1.0
Descrição
O problema está relacionado à aplicação incorreta do modo FILE UPLOAD DIRECTORY PERMISSIONS no Django, especificamente em diretórios de nível intermediário criados durante uploads de arquivos e em diretórios estáticos coletados ao usar o comando de gerenciamento collectstatic. Isso poderia permitir que um invasor remoto divulgasse informações protegidas devido a configurações de permissão padrão incorretas.
Recomendações
Para as versões do Django 2.2 a 2.2.15, atualize para a versão 2.2.16 ou posterior.
Para as versões do Django 3.0 a 3.0.9, atualize para a versão 3.0.10 ou posterior.
Para as versões do Django 3.1 a 3.1.0, atualize para a versão 3.1.1 ou posterior.

Correção

Incorrect Default Permissions

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-276

Identificadores relacionados

ALT-PU-2020-3491
BDU:2021-00881
BDU:2021-00936
BIT-DJANGO-2020-24583
CVE-2020-24583
DLA-3164-1
GHSA-M6GJ-H9GM-GW44
OPENSUSE-SU-2024:11205-1
OPENSUSE-SU-2024:13887-1
OPENSUSE-SU-2024:14208-1
OPENSUSE-SU-2026:10005-1
PYSEC-2020-33
USN-4479-1

Produtos afetados

Alt Linux
Astra Linux
Django
Linuxmint
Ubuntu