Viernes, 23 August 2019 12:39

Vulnerabilidad de criticidad alta en Django

El equipo de ciberinteligencia de Entelgy Innotec Security avisa de la publicación de una vulnerabilidad en Django.

Nivel de criticidad: ALTO

  1. CVE-2019-14234. Se ha detectado una vulnerabilidad en Django, entorno de  trabajo (framework) web para python preinstalado en Debian. El fallo afecta a la función QuerySet.filter() del componente Shallow Key Transformation. Un atacante podría realizar una inyección SQL a través de la manipulación del input OR 1=1.

La base de datos del NIST ha otorgado a la vulnerabilidad una puntuación de 7.5 según la escala CVSSv2. Esto es debido a que el fallo es explotable de forma remota, con una complejidad baja, no es requerida autenticación alguna y un ataque exitoso tendría una repercusión parcial. Hasta el momento no se han detectado exploits que permitan a los atacantes aprovechar esta vulnerabilidad  ni actividad en la red relacionada.

Recursos afectados:

La vulnerabilidad afecta a:

  • Django:
    • Versiones 1.11 (incluida) hasta 1.11.23 (excluida)
    • Versiones 2.1 (incluida) hasta 2.1.11 (excluida)
    • Versiones 2.2 (incluida) hasta 2.2.4 (excluida)
  • Fedora versión 30
  • Debian:
    • Versión 9.0
    • Versión 10.0

Solución a la vulnerabilidad:

El fabricante ha solucionado la vulnerabilidad a través de las versiones que se muestran a continuación:

Asimismo, Debian ha lanzado un aviso con las correspondientes soluciones para solucionar la vulnerabilidad:

  • Para la distribución «antigua estable» (stretch), este problema se ha corregido en la versión 1: 1.10.7-2 + deb9u6.
  • Para la distribución «estable» (buster), este problema se ha corregido en la versión 1: 1.11.23-1 ~ deb10u1.

Recomendaciones:

El CERT de Entelgy Innotec Security recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Por el momento, no se han detectado medidas de mitigación alternativas para solucionar la vulnerabilidad.

Referencias:

Visto 633 veces

Avda. Llano Castellano, 43
28034 Madrid
+34 917 281 504
innotec.security


InnoTec

Sobre nosotros

InnoTec nace en 2002 como empresa especializada en ciberseguridad, inteligencia, prevención y gestión de riesgos. Actualmente contamos con una plantilla de más de 350 profesionales altamente cualificados en España, y estamos presentes en los principales mercados de Latinoamérica y Estados Unidos.

Ampliar información
Presentación corporativa

Este sitio web utiliza cookies propias y de terceros para el correcto funcionamiento y visualización del sitio web por parte del usuario, así como la recogida de estadísticas. Si continúa navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información consultando nuestra Política de Cookies.