PT-2024-6154 · Django+5 · Django+5

Elias Myllymäki

·

Publicado

2024-07-31

·

Atualizado

2026-01-03

·

CVE-2024-41989

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:N/A:C
Nome do software vulnerável e versões afetadas
Versões do Django 4.2 a 4.2.14
Versões do Django 5.0 a 5.0.7
Descrição
A vulnerabilidade está relacionada à função floatformat() do Django, que pode levar a um consumo descontrolado de recursos. Isso pode ser explorado por um invasor remoto para causar uma negação de serviço. O filtro de modelo floatformat está sujeito a um consumo significativo de memória quando recebe uma representação em string de um número em notação científica com um expoente grande.
Recomendações
Para as versões do Django 4.2 a 4.2.14, atualize para a versão 4.2.15 ou posterior.
Para as versões 5.0 a 5.0.7 do Django, atualize para a versão 5.0.8 ou posterior.
Como solução temporária, considere restringir o uso do filtro de modelo floatformat para minimizar o risco de exploração. Evite usar o filtro floatformat com strings de entrada que contenham expoentes grandes em notação científica até que o problema seja resolvido.

Correção

Resource Exhaustion

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-400

Identificadores relacionados

ALT-PU-2024-15283
ALT-PU-2025-10176
BDU:2024-07073
BIT-DJANGO-2024-41989
CVE-2024-41989
GHSA-JH75-99HH-QVX9
MGASA-2025-0039
OESA-2024-2002
OESA-2024-2003
OESA-2024-2004
OESA-2024-2036
OESA-2024-2280
OPENSUSE-SU-2024:0272-1
OPENSUSE-SU-2024:14247-1
OPENSUSE-SU-2024:14248-1
OPENSUSE-SU-2026:10005-1
PYSEC-2024-67
RHSA-2024:6428
RHSA-2024:8534
RHSA-2025:1335
SUSE-SU-2024:2816-1
SUSE-SU-2024:2817-1
USN-6946-1

Produtos afetados

Alt Linux
Astra Linux
Debian
Django
Linuxmint
Ubuntu