El equipo de Django ha publicado una actualización de seguridad que corrige una vulnerabilidad en el componente ‘AdminURLFieldWidget’ del admin. Este componente es utilizado para la construcción de los campos url de los formularios del modo edición.
La vulnerabilidad identificada como CVE-2019-12308 consiste en la falta de validación de la url introducida en dicho campo, la cual permitiría la explotación de un ataque XSS. Un atacante podría introducir una URL maliciosa a través de este campo u otro vulnerable del sitio web para que se renderice el enlace con el XSS.
Para su explotación se requiere que un usuario que pertenezca al staff (es decir, con acceso al admin) acceda a la edición del registro con la URL maliciosa y haga clic en el enlace adjunto al campo. Con el parche incluido, ahora el campo verifica si la URL es maliciosa al validar el formulario, e impide el renderizado de las URL sospechosas ya existentes.
Las versiones de Django que han recibido este parche de seguridad son la 2.2.2, la 2.1.9 y la 1.11.21. La versión 2.0.x no ha recibido este parche al haber terminado su soporte en abril de este año. La versión 1.11.x seguirá recibiendo este y otros parches de seguridad hasta abril del año que viene al ser una LTS, debiendo el resto de versiones afectadas actualizar o aplicar el parche por su cuenta.
Además, esta actualización de seguridad corrige la vulnerabilidad CVE-2019-11358 en jQuery que afectaba al método ‘jQuery.extend’, el cual no estaba en uso pero podría utilizarse más adelante, o podría estar usándose por módulos de terceros.
Fuente:
Django security releases issued: 2.2.2, 2.1.9 and 1.11.21:
https://www.djangoproject.com/weblog/2019/jun/03/security-releases/
Deja un comentario