PT-2021-4594 · Django+4 · Django+4
Dennis Brinkrolf
·
Publicado
2021-04-01
·
Atualizado
2024-03-06
·
CVE-2021-28658
CVSS v4.0
6.9
Média
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do Django 2.2 anteriores à 2.2.20
Versões do Django 3.0 anteriores à 3.0.14
Versões do Django 3.1 anteriores à 3.1.8
Descrição
O problema está relacionado ao componente MultiPartParser no Django, que apresenta uma falha de restrição de caminho de diretório. Essa falha pode ser explorada por um invasor remoto usando arquivos com nomes especialmente criados, permitindo potencialmente o acesso a dados confidenciais. Os manipuladores de upload integrados não são afetados por este problema.
Recomendações
Para as versões do Django 2.2 anteriores à 2.2.20, atualize para a versão 2.2.20 ou posterior.
Para as versões do Django 3.0 anteriores à 3.0.14, atualize para a versão 3.0.14 ou posterior.
Para as versões do Django 3.1 anteriores à 3.1.8, atualize para a versão 3.1.8 ou posterior.
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Astra Linux
Django
Linuxmint
Ubuntu