PT-2024-19268 · Unknown · Django Template Engine
Bastianwegge
·
Publicado
2024-01-11
·
Atualizado
2024-01-18
·
CVE-2024-22199
CVSS v3.1
9.3
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:H/A:N |
Nome do software vulnerável e versões afetadas
Motor de modelos Django para o Fiber em versões anteriores à versão corrigida mais recente
Descrição
Este problema afeta especificamente aplicativos web que renderizam dados fornecidos pelo usuário por meio do mecanismo de modelos Django, podendo levar à execução de scripts maliciosos nos navegadores dos usuários ao visitarem páginas web afetadas. A vulnerabilidade permite ataques de Cross-Site Scripting (XSS). O mecanismo de modelos agora tem como padrão a configuração de
autoescape como true, mitigando efetivamente o risco de ataques XSS.Recomendações
Para versões anteriores à versão corrigida mais recente, atualize para a versão mais recente do mecanismo de modelos Django para Fiber, na qual esta atualização de segurança está implementada.
Como solução alternativa temporária para usuários que não possam atualizar imediatamente, implemente manualmente o autoescape em modelos Django individuais, adicionando tags específicas para controlar o comportamento do autoescape, como
{% autoescape on %} e {% endautoescape %}.Exploit
Correção
Improper Encoding or Escaping of Output
XSS
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Django Template Engine