PT-2022-1456 · Django+6 · Django+6

Keryn Knight

·

Publicado

2022-02-01

·

Atualizado

2026-01-03

·

CVE-2022-22818

CVSS v2.0

6.4

Média

VetorAV:N/AC:L/Au:N/C:P/I:P/A:N
Nome do software vulnerável e versões afetadas
Versões do Django 2.2 anteriores à 2.2.27
Versões do Django 3.2 anteriores à 3.2.12
Versões do Django 4.0 anteriores à 4.0.2
Descrição
A tag de modelo {% debug %} no Django não codifica corretamente o contexto atual, o que pode levar a um ataque XSS. Este problema está relacionado à falha da estrutura em proteger a estrutura da página web, permitindo que um invasor remoto realize um ataque de script entre sites.
Recomendações
Para as versões do Django 2.2 anteriores à 2.2.27, atualize para a versão 2.2.27 ou posterior.
Para versões do Django 3.2 anteriores à 3.2.12, atualize para a versão 3.2.12 ou posterior.
Para versões do Django 4.0 anteriores à 4.0.2, atualize para a versão 4.0.2 ou posterior.
Como solução temporária, considere desativar a tag de modelo {% debug %} até que um patch esteja disponível.

Exploit

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-79

Identificadores relacionados

ALT-PU-2022-1344
ALT-PU-2022-1372
BDU:2022-00584
BIT-DJANGO-2022-22818
CVE-2022-22818
DLA-2906-1
DLA-3191-1
DSA-5254-1
GHSA-95RW-FX8R-36V6
MGASA-2022-0104
OESA-2022-1530
OESA-2022-2055
OPENSUSE-SU-2023:0005-1
OPENSUSE-SU-2024:11804-1
OPENSUSE-SU-2024:14208-1
OPENSUSE-SU-2025:14662-1
OPENSUSE-SU-2026:10005-1
PYSEC-2022-19
RHSA-2022:5498
RHSA-2022:8506
RHSA-2022:8853
RHSA-2022:8872
RLSA-2022:5498
RLSA-2022:8506
SUSE-SU-2022:0285-1
SUSE-SU-2022:0286-1
USN-5269-1
USN-5269-2

Produtos afetados

Alt Linux
Astra Linux
Django
Linuxmint
Red Os
Rocky Linux
Ubuntu