PT-2022-7213 · Django+4 · Django+4

Benjamin Balder Bach

·

Publicado

2022-10-04

·

Atualizado

2026-01-03

·

CVE-2022-41323

CVSS v4.0

8.7

Alta

VetorAV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N
Nome do software vulnerável e versões afetadas
Versões do Django 3.2 a 3.2.15
Versões do Django 4.0 a 4.0.7
Versões do Django 4.1 a 4.1.1
Descrição
A vulnerabilidade está relacionada ao processamento insuficiente de expressões regulares em URLs internacionalizadas, o que pode ser explorado para causar um ataque de negação de serviço por meio do parâmetro locale. Esse parâmetro é tratado como uma expressão regular, permitindo que um invasor remoto possa causar uma negação de serviço.
Recomendações
Para as versões do Django 3.2 a 3.2.15, atualize para a versão 3.2.16 ou posterior.
Para as versões 4.0 a 4.0.7 do Django, atualize para a versão 4.0.8 ou posterior.
Para as versões 4.1 a 4.1.1 do Django, atualize para a versão 4.1.2 ou posterior.
Como solução temporária, considere restringir o acesso a URLs internacionalizadas ou desativar o uso do parâmetro locale até que um patch seja aplicado.

Correção

DoS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-1333CWE-185

Identificadores relacionados

ALT-PU-2022-2753
ALT-PU-2022-2836
BDU:2023-09097
BIT-DJANGO-2022-41323
CVE-2022-41323
DSA-5254-1
GHSA-QRW5-5H28-6CMG
MGASA-2023-0026
OPENSUSE-SU-2023:0005-1
OPENSUSE-SU-2023:0057-1
OPENSUSE-SU-2023:0178-1
OPENSUSE-SU-2024:12396-1
OPENSUSE-SU-2024:14208-1
OPENSUSE-SU-2025:14662-1
OPENSUSE-SU-2026:10005-1
PYSEC-2022-304
RHSA-2023:0742
RHSA-2023:2097
RLSA-2023:2097
USN-5653-1

Produtos afetados

Alt Linux
Django
Linuxmint
Rocky Linux
Ubuntu