PT-2021-4548 · Django+4 · Django+4

Jasu Viding

·

Publicado

2021-05-04

·

Atualizado

2026-01-03

·

CVE-2021-31542

CVSS v4.0

8.7

Alta

VetorAV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N
Nome do software vulnerável e versões afetadas
Versões do Django 2.2 a 2.2.20
Versões do Django 3.1 a 3.1.8
Versões do Django 3.2 a 3.2.0
Descrição
O problema está relacionado à falta de restrições no envio de arquivos na plataforma de aplicativos web Django, especificamente nos componentes MultiPartParser, UploadedFile e FieldFile. Isso pode ser explorado por um invasor remoto para acessar dados confidenciais usando arquivos com nomes especialmente criados, permitindo a traversal de diretórios por meio dos arquivos enviados.
Recomendações
Para as versões 2.2 a 2.2.20 do Django, atualize para a versão 2.2.21 ou posterior.
Para as versões 3.1 a 3.1.8 do Django, atualize para a versão 3.1.9 ou posterior.
Para as versões 3.2 a 3.2.0 do Django, atualize para a versão 3.2.1 ou posterior.

Correção

Unrestricted File Upload

Path traversal

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-434CWE-22

Identificadores relacionados

ALT-PU-2021-2228
ALT-PU-2021-3619
BDU:2021-05215
BIT-DJANGO-2021-31542
CVE-2021-31542
DLA-2651-1
DLA-3744-1
GHSA-RXJP-MFM9-W4WR
MGASA-2021-0356
OPENSUSE-SU-2024:11205-1
OPENSUSE-SU-2024:13887-1
OPENSUSE-SU-2024:14208-1
OPENSUSE-SU-2026:10005-1
PYSEC-2021-7
RHSA-2021:4702
RHSA-2021:5070
SUSE-SU-2021:1962-1
SUSE-SU-2021:1963-1
SUSE-SU-2021:2554-1
USN-4932-1
USN-4932-2

Produtos afetados

Alt Linux
Astra Linux
Django
Linuxmint
Ubuntu