PT-2024-3887 · Django+6 · Django+6

Seokchan Yoon

·

Publicado

2024-03-04

·

Atualizado

2026-01-03

·

CVE-2024-27351

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:N/A:C
Nome do software vulnerável e versões afetadas
Versões do Django 3.2 a 3.2.24
Versões do Django 4.2 a 4.2.10
Versões do Django 5.0 a 5.0.2
Descrição
O problema está relacionado a uma potencial falha de negação de serviço (DoS) por expressão regular no método django.utils.text.Truncator.words(). Isso poderia permitir que um invasor remoto causasse uma negação de serviço. O filtro de modelo truncatewords html também está sujeito a esse potencial ataque por meio de uma string maliciosa.
Recomendações
Para as versões do Django 3.2 a 3.2.24, atualize para a versão 3.2.25 ou posterior.
Para as versões do Django 4.2 a 4.2.10, atualize para a versão 4.2.11 ou posterior.
Para as versões do Django 5.0 a 5.0.2, atualize para a versão 5.0.3 ou posterior.
Como solução temporária, considere desativar o método django.utils.text.Truncator.words() com html=True até que um patch esteja disponível. Restrinja o acesso ao filtro de modelo truncatewords html para minimizar o risco de exploração.

Correção

DoS

Resource Exhaustion

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-1333CWE-400

Identificadores relacionados

ALT-PU-2024-3676
ALT-PU-2024-4472
ALT-PU-2024-8036
ALT-PU-2025-10176
BDU:2024-04292
BIT-DJANGO-2024-27351
CVE-2024-27351
DLA-4210-1
GHSA-VM8Q-M57G-PFF3
MGASA-2024-0075
OESA-2024-1254
OPENSUSE-SU-2024:0077-1
OPENSUSE-SU-2024:0080-1
OPENSUSE-SU-2024:13749-1
OPENSUSE-SU-2024:14208-1
OPENSUSE-SU-2026:10005-1
PYSEC-2024-47
RHSA-2024:1640
RHSA-2024:1878
RHSA-2024:3781
RHSA-2024:5662
RHSA-2025:4187
SUSE-SU-2024:0874-1
SUSE-SU-2024:0875-1
SUSE-SU-2024:0902-1
SUSE-SU-2024:1140-1
SUSE-SU-2024:1141-1
USN-6674-1
USN-6674-2

Produtos afetados

Alt Linux
Astra Linux
Debian
Django
Linuxmint
Red Os
Ubuntu