PT-2021-4521 · Django+4 · Django+4

Publicado

2021-05-25

·

Atualizado

2026-01-03

·

CVE-2021-33571

CVSS v4.0

8.7

Alta

VetorAV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N
Nome do software vulnerável e versões afetadas
Versões do Django 2.2 anteriores à 2.2.24
Versões do Django 3.x anteriores à 3.1.12
Versões do Django 3.2 anteriores à 3.2.4
Descrição
O problema está relacionado às funções URLValidator, validate ipv4 address e validate ipv46 address no Django, que não proíbem caracteres zero à esquerda em literais octais. Isso pode permitir a contornar o controle de acesso baseado em endereços IP. As funções validate ipv4 address e validate ipv46 address não são afetadas quando usadas com o Python 3.9.5 e versões posteriores.
Recomendações
Para versões do Django 2.2 anteriores à 2.2.24, atualize para a versão 2.2.24 ou posterior para resolver o problema.
Para versões do Django 3.x anteriores à 3.1.12, atualize para a versão 3.1.12 ou posterior para resolver o problema.
Para versões do Django 3.2 anteriores à 3.2.4, atualize para a versão 3.2.4 ou posterior para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso a endereços IP que possam ser afetados pela contornagem do controle de acesso até que um patch seja aplicado.

Correção

SSRF

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-918

Identificadores relacionados

ALT-PU-2021-2228
ALT-PU-2021-3619
BDU:2021-05162
BIT-DJANGO-2021-33571
CVE-2021-33571
DLA-2676-1
DLA-3744-1
GHSA-P99V-5W3C-JQQ9
MGASA-2021-0356
OPENSUSE-SU-2023:0005-1
OPENSUSE-SU-2024:11205-1
OPENSUSE-SU-2024:13887-1
OPENSUSE-SU-2024:14208-1
OPENSUSE-SU-2026:10005-1
PYSEC-2021-99
RHSA-2021:3490
RHSA-2021:4702
RHSA-2021:5070
SUSE-SU-2021:1962-1
SUSE-SU-2021:1963-1
SUSE-SU-2021:2554-1
USN-4975-1

Produtos afetados

Alt Linux
Astra Linux
Django
Linuxmint
Ubuntu