PT-2022-1406 · Django+6 · Django+6

Chris Bailey

·

Publicado

2022-01-04

·

Atualizado

2026-01-03

·

CVE-2021-45115

CVSS v4.0

8.7

Alta

VetorAV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N
Nome do software vulnerável e versões afetadas
Versões do Django 2.2 a 2.2.25
Versões do Django 3.2 a 3.2.10
Versões do Django 4.0 a 4.0.0
Descrição
O problema está relacionado ao componente UserAttributeSimilarityValidator na estrutura do Django, que pode causar uma sobrecarga significativa ao avaliar uma senha longa enviada. Isso pode levar a um potencial ataque de negação de serviço se o acesso ao registro de usuários for irrestrito. A vulnerabilidade está relacionada a um erro no gerenciamento de recursos, permitindo que um invasor remoto execute um ataque de negação de serviço enviando uma senha especialmente criada para o aplicativo.
Recomendações
Para as versões do Django 2.2 a 2.2.25, atualize para a versão 2.2.26 ou posterior.
Para as versões do Django 3.2 a 3.2.10, atualize para a versão 3.2.11 ou posterior.
Para as versões do Django 4.0 a 4.0.0, atualize para a versão 4.0.1 ou posterior.
Como solução temporária, considere restringir o acesso ao registro de usuários para minimizar o risco de exploração.

Correção

Resource Exhaustion

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-399CWE-400

Identificadores relacionados

ALT-PU-2022-1075
ALT-PU-2022-1124
BDU:2022-00352
BIT-DJANGO-2021-45115
CVE-2021-45115
DLA-3177-1
GHSA-53QW-Q765-4FWW
MGASA-2022-0011
OESA-2022-1530
OESA-2022-2055
OPENSUSE-SU-2023:0005-1
OPENSUSE-SU-2024:11725-1
OPENSUSE-SU-2024:14208-1
OPENSUSE-SU-2025:14662-1
OPENSUSE-SU-2026:10005-1
PYSEC-2022-1
RHSA-2022:5498
RLSA-2022:5498
SUSE-SU-2022:0102-1
SUSE-SU-2022:0103-1
USN-5204-1

Produtos afetados

Alt Linux
Astra Linux
Django
Linuxmint
Red Os
Rocky Linux
Ubuntu