Vulnérabilités dans Django

Date de publication :

Django est un cadre de développement web open source.

CVE-2022-23833[Score CVSS v3.1: 7.5]
La transmission en plusieurs parties de données dans des formulaires sous Django peut entraîner une boucle infinie lors de l'analyse des fichiers. Il est possible de télécharger un fichier malveillant pour saturer la consommation des ressources sur le système. L’exploitation de cette vulnérabilité permet de générer un déni de service.
 

CVE-2022-22818[Score CVSS v3.1: 7.2]
Le tag {% debug %} présent dans le modèle de page Web est vulnérable à une attaque de type cross-site scripting (XSS). Il est possible d’injecter du code malveillant qui va agir sur le navigateur de l’utilisateur. L’exploitation de cette vulnérabilité permet de voler des cookies contenant des données sensibles.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Atteinte à la confidentialité des données
  • Déni de service
  • Injection de code indirecte à distance (XSS)

Criticité

  • Score CVSS v3.1: 7.5 max

La faille est activement exploitée

  • Non, pour les 2 CVE présentés

Un correctif existe

  • Oui, pour les 2 CVE présentés

Une mesure de contournement existe

  • Non, pour les 2 CVE présentés

Les vulnérabilités exploitées sont du type    

Pour la CVE-2022-23833

 

Pour la CVE-2022-22818

Détails sur l’exploitation

Pour la CVE-2022-23833

  • Vecteur d’attaque : Réseau
  • Complexité de l’attaque : Faible
  • Privilèges nécessaires pour réaliser l’attaque : Aucun
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non

 

Pour la CVE-2022-22818

  • Vecteur d’attaque : Réseau
  • Complexité de l’attaque : Faible
  • Privilèges nécessaires pour réaliser l’attaque : Aucun
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non

 

Composants vulnérables.

Pour les 2 CVE présentés :

  • Django 2.2
  • Django 3.2
  • Django 4.0

Solutions ou recommandations

Pour les 2 CVE présentés :

  • Appliquer la mise à jour Django vers les versions 4.0.2, 3.2.12, 2.2.27 ou toutes les autres versions ultérieures.
  • Des informations supplémentaires sont disponibles ici.

Liens