Contáctanos al
1510
Resumen
El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT, comparte información obtenida del sitio oficial de Django, referente a una vulnerabilidad que afecta a su framework web, la cual, de ser explotada, puede resultar en escalación de privilegios. El informe incluye las actualizaciones para mitigar el riesgo.
Vulnerabilidad
CVE-2019-19118
Impacto
Es posible desencadenar una escalada de privilegios modificando los modelos principales de Django, a través de los modelos en línea. El usuario solo tiene permisos de lectura para el modelo principal, pero para el modelo en línea tiene permisos de edición. Con éste se actualiza al modelo principal y luego se llama al método save(), lo que provoca efectos secundarios, entre ellos, cargar gestores de señal previos y posteriores al guardado.
Producto Afectado
Las siguientes versiones de Djangoproject son vulnerables:
Mitigación
Para 2.1, actualizar a la versión 2.1.15
Para 2.2, actualizar a la versión 2.2.8.
Django también ha lanzado la versión 3.0 con esta vulnerabilidad mitigada.
Enlaces
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA-00095-001