PT-2024-6153 · Django+5 · Django+5

Mprogrammer

·

Publicado

2024-07-31

·

Atualizado

2026-01-03

·

CVE-2024-41990

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:N/A:C
Nome do software vulnerável e versões afetadas
Versões do Django 4.2 a 4.2.14
Versões do Django 5.0 a 5.0.7
Descrição
O problema está relacionado aos filtros de modelo urlize() e urlizetrunc() no Django, que podem estar sujeitos a um potencial ataque de negação de serviço por meio de entradas muito grandes com uma sequência específica de caracteres. Isso pode ser explorado por um invasor remoto para causar uma negação de serviço. A vulnerabilidade está associada a uma incompatibilidade nos parâmetros de comprimento dos dados de entrada. Foi paga uma recompensa de US$ 2.162 pela descoberta deste problema.
Recomendações
Para as versões 4.2 a 4.2.14 do Django, atualize para a versão 4.2.15 ou posterior.
Para as versões 5.0 a 5.0.7 do Django, atualize para a versão 5.0.8 ou posterior.
Como solução temporária, considere restringir o uso dos filtros de modelo urlize() e urlizetrunc() até que um patch seja aplicado.

Correção

DoS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-130

Identificadores relacionados

ALT-PU-2024-15283
ALT-PU-2025-10176
BDU:2024-07072
BIT-DJANGO-2024-41990
CVE-2024-41990
GHSA-795C-9XPC-XW6G
MGASA-2025-0039
OESA-2024-2002
OESA-2024-2003
OESA-2024-2004
OESA-2024-2036
OESA-2024-2280
OPENSUSE-SU-2024:0272-1
OPENSUSE-SU-2024:14247-1
OPENSUSE-SU-2024:14248-1
OPENSUSE-SU-2026:10005-1
PYSEC-2024-68
RHSA-2024:6428
RHSA-2025:1335
SUSE-SU-2024:2816-1
SUSE-SU-2024:2817-1
SUSE-SU-2024:2861-1
USN-6946-1

Produtos afetados

Alt Linux
Astra Linux
Debian
Django
Linuxmint
Ubuntu