PT-2024-9682 · Django+7 · Django+7

Jiangniao

·

Publicado

2024-11-28

·

Atualizado

2026-02-06

·

CVE-2024-53907

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:N/A:C
Nome do software vulnerável e versões afetadas
Versões do Django 4.2 a 4.2.16
Versões do Django 5.0 a 5.0.9
Versões do Django 5.1 a 5.1.3
Descrição
O problema está relacionado ao método strip tags() e ao filtro de modelo striptags no Django, que estão sujeitos a um potencial ataque de negação de serviço por meio de determinadas entradas contendo grandes sequências de entidades HTML incompletas aninhadas. Isso poderia permitir que um invasor remoto causasse uma negação de serviço enviando entidades HTML especialmente criadas. A vulnerabilidade está relacionada à alocação ilimitada de recursos devido à escapada incorreta de caracteres HTML.
Recomendações
Para as versões 4.2 a 4.2.16 do Django, atualize para a versão 4.2.17 ou posterior.
Para as versões 5.0 a 5.0.9 do Django, atualize para a versão 5.0.10 ou posterior.
Para as versões 5.1 a 5.1.3 do Django, atualize para a versão 5.1.4 ou posterior.
Como solução temporária, considere desativar a função strip tags() e o filtro de modelo striptags até que um patch esteja disponível.

Correção

DoS

Allocation of Resources Without Limits

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-770

Identificadores relacionados

ALT-PU-2024-17274
ALT-PU-2025-10176
BDU:2024-11394
BIT-DJANGO-2024-53907
CVE-2024-53907
DLA-4006-1
GHSA-8498-2H75-472J
MGASA-2025-0039
OESA-2024-2539
OESA-2024-2540
OESA-2024-2541
OESA-2024-2542
OESA-2024-2543
OPENSUSE-SU-2024:0408-1
OPENSUSE-SU-2024:14565-1
OPENSUSE-SU-2024:14568-1
OPENSUSE-SU-2024_4285-1
OPENSUSE-SU-2026:10005-1
PYSEC-2024-156
RHSA-2025:0340
RHSA-2025:0777
SUSE-SU-2024:4285-1
USN-7136-1
USN-7136-2

Produtos afetados

Alt Linux
Astra Linux
Debian
Django
Linuxmint
Red Os
Suse
Ubuntu