PT-2022-1408 · Django+6 · Django+6
Dennis Brinkrolf
·
Publicado
2022-01-04
·
Atualizado
2024-03-06
·
CVE-2021-45116
CVSS v4.0
8.7
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do Django 2.2 anteriores à 2.2.26
Versões do Django 3.2 anteriores à 3.2.11
Versões do Django 4.0 anteriores à 4.0.1
Descrição
O problema está relacionado ao filtro de modelo dictsort no Django, o que poderia potencialmente levar à divulgação de informações ou a uma chamada de método não intencional se fosse passada uma chave criada de forma adequada. Isso se deve ao aproveitamento da lógica de resolução de variáveis da Linguagem de Modelos do Django. A vulnerabilidade pode permitir que um invasor remoto obtenha informações confidenciais do sistema.
Recomendações
Para as versões do Django 2.2 anteriores à 2.2.26, atualize para a versão 2.2.26 ou posterior.
Para as versões do Django 3.2 anteriores à 3.2.11, atualize para a versão 3.2.11 ou posterior.
Para as versões do Django 4.0 anteriores à 4.0.1, atualize para a versão 4.0.1 ou posterior.
Como solução temporária, considere restringir o uso do filtro de modelo dictsort até que um patch esteja disponível.
Correção
RCE
Exposure of Resource to Wrong Sphere
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Astra Linux
Django
Linuxmint
Red Os
Rocky Linux
Ubuntu