Django wydało właśnie krytyczne aktualizacje bezpieczeństwa dla wersji 5.1.4, 5.0.10 i 4.2.17. Poprawki rozwiązują dwie istotne podatności: potencjalny atak typu denial-of-service (DoS) w metodzie strip_tags() oraz ryzyko SQL injection w bazach Oracle.
Pierwsza podatność (CVE-2024-53907) dotyczy metody django.utils.html.strip_tags() oraz filtra striptags. Problem pojawia się przy przetwarzaniu danych zawierających długie sekwencje zagnieżdżonych, niekompletnych encji HTML, co może prowadzić do znacznego spadku wydajności aplikacji. Podatność została zgłoszona przez jiangniao i sklasyfikowana jako umiarkowanie poważna.
Druga podatność (CVE-2024-53908), odkryta przez Seokchan Yoon, została sklasyfikowana jako wysokiego ryzyka. Dotyczy lookupa HasKey w module django.db.models.fields.json. Na bazach Oracle może ona zostać wykorzystana do przeprowadzenia ataku SQL injection, jeśli niezaufane dane zostaną przekazane jako wartość left-hand side (lhs).
Zalecana jest natychmiastowa aktualizacja do najnowszych wersji:
- Django 5.1 -> 5.1.4
- Django 5.0 -> 5.0.10
- Django 4.2 -> 4.2.17
Źródło:
https://gbhackers.com/django-security-update-patch/