PT-2021-19642 · Django+3 · Django+3

Mariusz Felisiak

·

Publicado

2021-05-06

·

Atualizado

2026-01-03

·

CVE-2021-32052

CVSS v3.1

6.1

Média

VetorAV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
**Nome do software vulnerável e versões afetadas:
Versões do Django 2.2 anteriores à 2.2.22
Versões do Django 3.1 anteriores à 3.1.10
Versões do Django 3.2 anteriores à 3.2.2
Descrição:
O problema decorre do fato de o URLValidator do Django não proibir quebras de linha e tabulações, a menos que seja utilizado o campo de formulário URLField. Isso pode levar à injeção de cabeçalho se um aplicativo usar valores com quebras de linha em uma resposta HTTP. No entanto, o próprio Django não é afetado porque o HttpResponse proíbe quebras de linha nos cabeçalhos HTTP.
Recomendações:
Para as versões do Django 2.2 anteriores à 2.2.22, atualize para a versão 2.2.22 ou posterior para resolver o problema.
Para versões do Django 3.1 anteriores à 3.1.10, atualize para a versão 3.1.10 ou posterior para resolver o problema.
Para versões do Django 3.2 anteriores à 3.2.2, atualize para a versão 3.2.2 ou posterior para resolver o problema.
Como solução alternativa temporária, considere restringir o uso de valores com quebras de linha em respostas HTTP para minimizar o risco de injeção de cabeçalho.

Correção

Argument Injection

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-88CWE-79

Identificadores relacionados

ALT-PU-2021-2228
ALT-PU-2021-3619
BIT-DJANGO-2021-32052
CVE-2021-32052
GHSA-QM57-VHQ3-3FWF
MGASA-2021-0356
OPENSUSE-SU-2023:0005-1
OPENSUSE-SU-2024:11205-1
OPENSUSE-SU-2024:13887-1
OPENSUSE-SU-2024:14208-1
OPENSUSE-SU-2026:10005-1
PYSEC-2021-8
USN-4975-1
USN-5373-1
USN-5373-2

Produtos afetados

Alt Linux
Django
Linuxmint
Ubuntu