Nuevas vulnerabilidades en Django

07/08/2019
Se han publicado 4 vulnerabilidades en Django, las cuales podrían causar denegación de servicio e inyección SQL.

Riesgo: Alto Alto
Sistemas afectados:

Las versiones afectadas son:

  • 2.2
  • 2.1
  • 1.11
Descripción:

Se trata de un framework de código abierto basado en Python para el desarrollo de sitios web.

  • La primera vulnerabilidad existe en los métodos ‘chars’ y ‘words’ de la clase "django.utils.text.Truncator".
  • La segunda aparece en el método "django.utils.html.strip_tags".
  • La tercera se asocia con las clases para PostgreSQL "django.contrib.postgres.fields.JSONField" y "django.contrib.postgres.fields.HstoreField".
  • Y la última, se encuentra en la función "django.utils.encoding.uri_to_iri".

Más información.

Solución:

Actualizar a las versiones:

  • 2.2.4
  • 2.1.11
  • 1.11.23
Notas:

Más información:

Django security releases issued: 2.2.4, 2.1.11 and 1.11.23
https://www.djangoproject.com/weblog/2019/aug/01/security-releases/