PT-2024-6225 · Django+6 · Django+6

Elias Myllymäki

·

Publicado

2024-06-21

·

Atualizado

2026-01-03

·

CVE-2024-38875

CVSS v4.0

8.7

Alta

VetorAV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N
Nome do software vulnerável e versões afetadas
Versões do Django 4.2 a 4.2.13
Versões do Django 5.0 a 5.0.6
Descrição
O problema está relacionado a um potencial ataque de negação de serviço por meio de determinadas entradas com um número muito grande de colchetes nas funções urlize e urlizetrunc. Isso pode causar consumo descontrolado de recursos devido à baixa complexidade temporal de strip punctuation. A vulnerabilidade pode permitir que um invasor remoto cause uma negação de serviço.
Recomendações
Para as versões do Django 4.2 a 4.2.13, atualize para a versão 4.2.14 ou posterior.
Para as versões 5.0 a 5.0.6 do Django, atualize para a versão 5.0.7 ou posterior.
Como solução temporária, considere restringir o uso das funções urlize e urlizetrunc até que um patch esteja disponível. Evite usar essas funções com entradas não confiáveis para minimizar o risco de exploração.

Correção

DoS

Improper Resource Release

Allocation of Resources Without Limits

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-404CWE-770CWE-130

Identificadores relacionados

ALT-PU-2024-10534
ALT-PU-2025-10176
BDU:2024-07169
BIT-DJANGO-2024-38875
CVE-2024-38875
GHSA-QG2P-9JWR-MMQF
MGASA-2025-0039
OESA-2024-1948
OESA-2024-2003
OESA-2024-2004
OESA-2024-2036
OESA-2024-2280
OPENSUSE-SU-2024:0251-1
OPENSUSE-SU-2024:14203-1
OPENSUSE-SU-2024:14208-1
OPENSUSE-SU-2024_2545-1
OPENSUSE-SU-2026:10005-1
PYSEC-2024-56
RHSA-2024:6428
RHSA-2024:8906
RHSA-2024:9481
SUSE-SU-2024:2545-1
SUSE-SU-2024:2577-1
USN-6888-1
USN-6888-2

Produtos afetados

Alt Linux
Astra Linux
Debian
Django
Linuxmint
Suse
Ubuntu