Contáctanos al
1510
Resumen
El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT, comparte información obtenida de Django, referente a una vulnerabilidad que afecta a ambiente de desarrollo web, la cual de ser explotada permitiría a un atacante realizar inyecciones SQL permitiéndole obtener completo control sobre la aplicación y su base de datos. Este informe incluye la respectiva mitigación.
Vulnerabilidad
CVE-2020-7471
Impacto
Debido a la insuficiente sanitización de los datos entregados por el usuario a través del delimitador StringAgg, es posible enviar peticiones especialmente diseñadas para realizar inyecciones de código arbitrario SQL las cuales permitirían a un atacante leer, borrar, modificar datos en una base de datos y obtener control completo sobre la aplicación.
Productos Afectados
Django versión 1.11.x, 2.2.x y 3.0.x.
Mitigación
Para la versión 1.11, actualizar a la versión 1.11.28.
Para la versión 2.2, actualizar a la versión 2.2.10.
Para la versión 3.0, actualizar a la versión 3.0.3.
Enlaces
https://www.djangoproject.com/weblog/2020/feb/03/security-releases/
https://cve.mitre.org/cgi-bin/cvename.cgi?name= CVE-2020-7471
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA20-00132-01