• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / General / Vulnerabilidad que permitiría un ataque XSS en Django-Unicorn

Vulnerabilidad que permitiría un ataque XSS en Django-Unicorn

12 octubre, 2021 Por Jose Ignacio Palacios Ortega Deja un comentario

Los desarrolladores de Unicorn han corregido una vulnerabilidad en su producto ‘django-unicorn’ que podría permitir un ataque XSS.

Django es un framework de desarrollo de código abierto y escrito en Python que actualmente tiene una gran popularidad. Utiliza el patrón modelo-vista-controlador (MVC) como patrón de diseño.

Unicorn para Django es un componente que mejora el rendimiento de las vistas de Django facilitando las tareas en background. Esto permite la modificación del DOM de una página web de forma ágil con un sistema adaptado perfectamente al modelo de diseño modelo-vista-controlador de Django.

La vulnerabilidad afecta al paquete ‘Django-Unicorn’ en la versión 0.36.0 y anteriores . Este error tiene la calificación de ‘problemático’, aunque solamente tiene un CVSS temporal de tan solo 3.4 puntos de riesgo.

La corrección de la vulnerabilidad CVE-2021-42053 dió lugar a esta otra vulnerabilidad, la cual se ha calificado como CVE-2021-42134. Un mal manejo en los parámetros recibidos en una petición web son los causantes de dicho error.

Un atacante remoto autenticado podría aprovechar la vulnerabilidad descubierta para realizar un ataque XSS (cross site scripting) a través de una petición web especialmente manipulada, pero no se dan detalles del impacto que puede llegar a causar.

Los desarrolladores han corregido el paquete ‘Django-Unicorn’ en la versión 0.36.1 a través del commit 3a832a9e3f6455ddd3b87f646247269918ad10c6 y la corrección está disponible en github para cualquier usuario que quiera actualizar el código.


Más información:

* Unicorn Framework up to 0.36.0 on Django Incomple Fix CVE-2021-42053 cross site scripting
https://vuldb.com/?id.184138

* More complete handling for preventing XSS attacks.
https://github.com/adamghill/django-unicorn/commit/3a832a9e3f6455ddd3b87f646247269918ad10c6



Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Libros recomendados

Bitcoin

Open Source INTelligence (OSINT)

Análisis Forense Digital

Publicado en: General Etiquetado como: django-unicorn, unicorn, vulnerability, XSS

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscador

Email Newsletter

Suscríbase y reciba Una al Día en su correo.

UADCAST

Populares de UAD

  • Ciberataque a Cellebrite, publicados 4Tb de datos de la compañía
  • Descubierta nueva vulnerabilidad en las cámaras IP de la conocida marca DAHUA
  • Reacción ante ciberataques... en vacaciones
  • Chema Alonso entrevista a Richard Stallman - Parte II
  • Routers comerciales de Cisco afectados por varias vulnerabilidades.

Entradas recientes

  • Ciberataque a Cellebrite, publicados 4Tb de datos de la compañía
  • Reacción ante ciberataques… en vacaciones
  • Routers comerciales de Cisco afectados por varias vulnerabilidades.
  • Descubierta nueva vulnerabilidad en las cámaras IP de la conocida marca DAHUA
  • Los ataques de ransomware conocidos apenas supondrían una sexta parte del total
  • SAMBA puede poner en riesgo miles de instalaciones si no son actualizadas a tiempo.
  • Boletín de seguridad de Android
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

Una al Día

Una Al Día nació a raíz de un inocente comentario en un canal IRC hace casi 19 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Entradas recientes

  • Ciberataque a Cellebrite, publicados 4Tb de datos de la compañía
  • Reacción ante ciberataques… en vacaciones
  • Routers comerciales de Cisco afectados por varias vulnerabilidades.
  • Descubierta nueva vulnerabilidad en las cámaras IP de la conocida marca DAHUA
  • Los ataques de ransomware conocidos apenas supondrían una sexta parte del total

Etiquetas

0-day Android Apple Chrome Ciberataque cve D-Link Facebook Google iOS leak linux malware Microsoft Mozilla OpenSSL Oracle OS X Phishing PHP ransomware rce vulnerabilidad vulnerabilidades Windows WordPress

Copyright © 2022 · Hispasec

 

Cargando comentarios...