CVE-2025-24370

Nome do Software Vulnerável e Versões Afetadas Versões do Django-Unicorn anteriores à 0.62.0

Descrição A vulnerabilidade origina-se da funcionalidade central set property value, que pode ser acionada remotamente por usuários através da criação de solicitações de componente adequadas e fornecimento de valores para o segundo e terceiro parâmetros da função vulnerável, resultando em alterações arbitrárias no estado de execução (runtime) do Python. Este problema pode resultar em ataques de Cross-Site Scripting (XSS), Negação de Serviço (DoS) e Bypass de Autenticação em praticamente todas as aplicações baseadas em Django-Unicorn. Foram observadas pelo menos cinco formas de exploração da vulnerabilidade.

Recomendações Para resolver o problema, atualize para a versão 0.62.0 ou superior. Como solução temporária (workaround), considere bloquear caminhos que começam com para prevenir o acesso a "double under" (dunder) ou variáveis/métodos mágicos. Além disso, definir uma lista negra (blacklist) para caminhos restritos, como RESTRICTED KEYS = (" globals ", " builtins "), pode ajudar a mitigar a vulnerabilidade.