CVE-2022-24840

Versões do django-s3file anteriores à 5.5.1

A vulnerabilidade permite que um invasor percorra todo o bucket do AWS S3 e, na maioria dos casos, acesse ou exclua arquivos. Se a configuração AWS LOCATION estivesse definida, a navegação ficava limitada apenas a esse local. O problema foi descoberto pelo mantenedor, e não houve relatos de que ele fosse conhecido ou explorado por terceiros antes do lançamento do patch. Um invasor pode usar uma solicitação com dados de formulário maliciosos para realizar operações destrutivas.

Para versões anteriores à 5.5.1, atualize para a versão 5.5.1 ou superior para corrigir o problema. Não há solução alternativa viável, e todos os usuários são instados a atualizar imediatamente para uma versão corrigida. Como medida temporária, considere restringir o acesso a arquivos e locais confidenciais no bucket do AWS S3 até que a atualização seja aplicada.