PT-2021-14491 · Unknown+2 · Django-Rest-Registration+2
Martinmo
·
Publicado
2021-04-01
·
Atualizado
2024-07-12
·
CVE-2021-21416
CVSS v3.1
3.7
Baixa
| Vetor | AV:L/AC:H/PR:H/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do django-registration anteriores à 3.1.2
Descrição
O pacote django-registration apresenta uma falha em que a visualização básica de registro de conta de usuário não aplica corretamente filtros a dados confidenciais. Isso pode resultar na inclusão de dados confidenciais em relatórios de erro, em vez de serem removidos automaticamente pelo Django. Para que isso ocorra, um site deve estar usando o django-registration anterior à versão 3.1.2, ter relatórios de erro detalhados habilitados e sofrer um erro do lado do servidor durante uma tentativa de registro de conta. Nessas condições, os destinatários do relatório de erro detalhado podem ver todos os dados enviados, incluindo as credenciais propostas pelo usuário, como uma senha.
Recomendações
Para versões do django-registration anteriores à 3.1.2, atualize para a versão 3.1.2 ou posterior, que aplica corretamente o decorador
sensitive post parameters() do Django à visualização básica de registro de usuário.Como solução temporária, os usuários que não puderem atualizar rapidamente podem aplicar o decorador
django.views.decorators.debug.sensitive post parameters() às suas próprias visualizações de registro usando o auxiliar method decorator() do Django no método dispatch() da classe RegistrationView apropriada.Correção
Generation of Error Message Containing Sensitive Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Debian
Suse
Django-Rest-Registration