[News] Krytyczna aktualizacja Django - podatności DoS i SQL Injection

Zaczęty przez ZiBi, 07 Gru 2024, 18:56

« poprzedni - następny »
Drukuj
Do dołu Strony1
User actions

ZiBi

07 Gru 2024, 18:56
Django wydało właśnie krytyczne aktualizacje bezpieczeństwa dla wersji 5.1.4, 5.0.10 i 4.2.17. Poprawki rozwiązują dwie istotne podatności: potencjalny atak typu denial-of-service (DoS) w metodzie strip_tags() oraz ryzyko SQL injection w bazach Oracle.

Pierwsza podatność (CVE-2024-53907) dotyczy metody django.utils.html.strip_tags() oraz filtra striptags. Problem pojawia się przy przetwarzaniu danych zawierających długie sekwencje zagnieżdżonych, niekompletnych encji HTML, co może prowadzić do znacznego spadku wydajności aplikacji. Podatność została zgłoszona przez jiangniao i sklasyfikowana jako umiarkowanie poważna.

Druga podatność (CVE-2024-53908), odkryta przez Seokchan Yoon, została sklasyfikowana jako wysokiego ryzyka. Dotyczy lookupa HasKey w module django.db.models.fields.json. Na bazach Oracle może ona zostać wykorzystana do przeprowadzenia ataku SQL injection, jeśli niezaufane dane zostaną przekazane jako wartość left-hand side (lhs).

Zalecana jest natychmiastowa aktualizacja do najnowszych wersji:
  • Django 5.1 -> 5.1.4
  • Django 5.0 -> 5.0.10
  • Django 4.2 -> 4.2.17


Źródło:
Kod [Zaznacz]
https://gbhackers.com/django-security-update-patch/
Drukuj
Do góry Strony1
User actions