• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Vulnerabilidades / Vulnerabilidad XSS en Django REST Framework

Vulnerabilidad XSS en Django REST Framework

6 octubre, 2020 Por Patricia González Deja un comentario

En los últimos días se hizo pública, a través de un reporte en Red Hat Bugzilla, una vulnerabilidad descubierta por el investigador de seguridad Borja Tarrasa que podría permitir realizar ataques de tipo Cross-site Scripting (XSS) en Django.

Esta vulnerabilidad, clasificada en el informe como de riesgo medio y etiquetada con el identificador CVE-2020-25626, afecta a versiones anteriores a la 3.11.2 y 3.12.0 de Django REST Framework, un conjunto de herramientas que permite el desarrollo de APIs web en este software de código abierto.

En concreto, puede producirse al utilizar la API navegable de Django REST Framework debido a que al usarla en las versiones afectadas, no se filtran correctamente ciertos parámetros proporcionados por el usuario. Esto podría permitir a un atacante inyectar etiquetas maliciosas y, de esta forma, explotar la vulnerabilidad XSS de manera remota sin necesidad de autenticación.

Algunas versiones afectadas:

  • cpe:/a:encode:django-rest-framework:3.11.1:
  • cpe:/a:encode:django-rest-framework:3.11.0:
  • cpe:/a:encode:django-rest-framework:3.10.3:
  • cpe:/a:encode:django-rest-framework:3.10.2:
  • cpe:/a:encode:django-rest-framework:3.10.1:
  • cpe:/a:encode:django-rest-framework:3.10.0:
  • cpe:/a:encode:django-rest-framework:3.9.4:
  • cpe:/a:encode:django-rest-framework:3.9.3:
  • cpe:/a:encode:django-rest-framework:3.9.2:
  • cpe:/a:encode:django-rest-framework:3.9.1:
  • cpe:/a:encode:django-rest-framework:3.9.0:

Django ha procedido a lanzar el parche de seguridad que, como ellos mismos indican en las notas adjuntas a las actualizaciones, elimina la vulnerabilidad XSS en algunos tipos de contenido de la API navegable. Por lo que es recomendable actualizar a las versiones 3.11.2 y 3.12.0 disponibles en su página oficial, cuanto antes.

Más información:

Django Rest Framework Release Notes
https://www.django-rest-framework.org/community/release-notes/#312x-series

Red Hat Bugzilla – Bug 1878635
https://bugzilla.redhat.com/show_bug.cgi?id=1878635

Django-rest-framework: XSS Vulnerability in API viewer
https://www.cybersecurity-help.cz/vdb/SB2020100114

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Libros recomendados

Las tiras de Cálico

Open Source INTelligence (OSINT)

Hacking redes WiFi

Publicado en: Vulnerabilidades Etiquetado como: cve, django, Django Rest Framework, XSS

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscador

Email Newsletter

Suscríbase y reciba Una al Día en su correo.

UADCAST

Populares de UAD

  • Cisco afectada por ransomware Yanluowang
  • Cisco parchea vulnerabilidad alta en ASA y Firepower
  • Ataque a Curve.Finance, robados casi 570.000 doláres
  • Microsoft Edge mejora la seguridad contra sitios maliciosos con su modo de seguridad mejorado
  • Ataque a la plataforma cripto deBridge Finance

Entradas recientes

  • Ataque a Curve.Finance, robados casi 570.000 doláres
  • Cisco parchea vulnerabilidad alta en ASA y Firepower
  • Cisco afectada por ransomware Yanluowang
  • Microsoft Edge mejora la seguridad contra sitios maliciosos con su modo de seguridad mejorado
  • Ataque a la plataforma cripto deBridge Finance
  • Slack reinicia todas las contraseñas tras un bug que exponía los hashes de las contraseñas de algunos usuarios
  • Ciberataque a Cellebrite, publicados 4Tb de datos de la compañía
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

Una al Día

Una Al Día nació a raíz de un inocente comentario en un canal IRC hace casi 19 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Entradas recientes

  • Ataque a Curve.Finance, robados casi 570.000 doláres
  • Cisco parchea vulnerabilidad alta en ASA y Firepower
  • Cisco afectada por ransomware Yanluowang
  • Microsoft Edge mejora la seguridad contra sitios maliciosos con su modo de seguridad mejorado
  • Ataque a la plataforma cripto deBridge Finance

Etiquetas

0-day Android Apple Chrome Ciberataque cve D-Link Facebook Google iOS leak linux malware Microsoft Mozilla OpenSSL Oracle OS X Phishing PHP ransomware rce vulnerabilidad vulnerabilidades Windows WordPress

Copyright © 2022 · Hispasec

 

Cargando comentarios...