PT-2021-24086 · Django+4 · Django+4

Sjoerd Job Postmus

+1

·

Publicado

2021-12-07

·

Atualizado

2025-01-27

·

CVE-2021-44420

CVSS v2.0

7.5

Alta

VetorAV:N/AC:L/Au:N/C:P/I:P/A:P
**Nome do software vulnerável e versões afetadas:
Versões do Django 2.2 anteriores à 2.2.25
Versões do Django 3.1 anteriores à 3.1.14
Versões do Django 3.2 anteriores à 3.2.10
Descrição:
Solicitações HTTP para URLs com caracteres de nova linha no final poderiam contornar o controle de acesso upstream baseado em caminhos de URL. Esta vulnerabilidade tem gravidade baixa, de acordo com a política de segurança do Django.
Recomendações:
Para as versões do Django 2.2 anteriores à 2.2.25, atualize para a versão 2.2.25 ou posterior.
Para as versões do Django 3.1 anteriores à 3.1.14, atualize para a versão 3.1.14 ou posterior.
Para as versões do Django 3.2 anteriores à 3.2.10, atualize para a versão 3.2.10 ou posterior.

Correção

Improper Authentication

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-287

Identificadores relacionados

ALT-PU-2021-3552
ALT-PU-2021-3619
ALT-PU-2021-3622
BIT-DJANGO-2021-44420
CVE-2021-44420
GHSA-V6RH-HP5X-86RV
MGASA-2021-0552
OPENSUSE-SU-2023:0005-1
OPENSUSE-SU-2024:11791-1
OPENSUSE-SU-2025:14702-1
PYSEC-2021-439
RHSA-2022:5498
RHSA-2023:0742
RLSA-2022:5498
USN-5178-1

Produtos afetados

Alt Linux
Django
Linuxmint
Rocky Linux
Ubuntu