PT-2024-28441 · Wagtail · Wagtail
Realorangeone
·
Publicado
2024-07-11
·
Atualizado
2024-09-19
·
CVE-2024-39317
CVSS v4.0
7.1
Alta
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do Wagtail anteriores à 5.2.6
Versões do Wagtail anteriores à 6.0.6
Versões do Wagtail anteriores à 6.1.3
Descrição
Um bug na função
parse query string do Wagtail fazia com que o processamento de entradas especialmente criadas demorasse muito tempo, levando a uma negação de serviço. Esse problema pode ser explorado por qualquer usuário administrador do Wagtail em uma instalação inicial, mas não por usuários finais. No entanto, se uma implementação de pesquisa personalizada usar parse query string, ela pode ser explorável por outros usuários, como usuários não autenticados.Recomendações
Para versões anteriores à 5.2.6, atualize para a versão 5.2.6 ou posterior.
Para versões anteriores à 6.0.6, atualize para a versão 6.0.6 ou posterior.
Para versões anteriores à 6.1.3, atualize para a versão 6.1.3 ou posterior.
Como solução alternativa temporária para proprietários de sites que não podem atualizar, limite o comprimento dos termos de pesquisa passados para
parse query string a 1.000 caracteres ou menos. Observe que essa solução alternativa não se aplica ao uso do Wagtail Admin.Exploit
Correção
DoS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Wagtail