PT-2024-31489 · Django+7 · Django+7
Thibaut Spriet
·
Publicado
2024-09-03
·
Atualizado
2026-01-03
·
CVE-2024-45231
CVSS v4.0
6.3
Média
| Vetor | AV:N/AC:L/AT:P/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões 4.2.16, 5.0.9 e 5.1.1 do Django
Descrição
Foi descoberta uma falha na classe django.contrib.auth.forms.PasswordResetForm, que permite que invasores remotos enumerem endereços de e-mail de usuários enviando solicitações de redefinição de senha e observando o resultado quando o envio de e-mails falha consistentemente. Isso ocorre devido a falhas no envio de e-mails que não são tratadas. As exceções que ocorrem durante o envio de e-mails de redefinição de senha agora são tratadas e registradas usando o logger “django.contrib.auth”.
Recomendações
Para as versões 4.2.16, 5.0.9 e 5.1.1 do Django, atualize para uma versão em que as exceções que ocorrem durante o envio de e-mails de redefinição de senha sejam tratadas e registradas usando o logger “django.contrib.auth” para mitigar o risco de enumeração de e-mails de usuários. Como solução alternativa temporária, considere implementar registro personalizado e tratamento de exceções para o envio de e-mails de redefinição de senha, a fim de minimizar o risco de exploração.
Correção
Generation of Error Message Containing Sensitive Information
Side Channel Attack
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Astra Linux
Debian
Django
Linuxmint
Red Os
Suse
Ubuntu