4 febrero, 2020

9VSA20-00132-01 CSIRT comparte actualizaciones de Django para su Web Framework

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT, comparte información obtenida de Django, referente a una vulnerabilidad que afecta a ambiente de desarrollo web, la cual de ser explotada permitiría a un atacante realizar inyecciones SQL permitiéndole obtener completo control sobre la aplicación y su base de datos. Este informe incluye la respectiva mitigación.

 

Vulnerabilidad

CVE-2020-7471

 

Impacto

Debido a la insuficiente sanitización de los datos entregados por el usuario a través del delimitador StringAgg, es posible enviar peticiones especialmente diseñadas para realizar inyecciones de código arbitrario SQL las cuales permitirían a un atacante leer, borrar, modificar datos en una base de datos y obtener control completo sobre la aplicación.

 

Productos Afectados

Django versión 1.11.x, 2.2.x y 3.0.x.

 

Mitigación

Para la versión 1.11, actualizar a la versión 1.11.28.

Para la versión 2.2, actualizar a la versión 2.2.10.

Para la versión 3.0, actualizar a la versión 3.0.3.

 

Enlaces

https://www.djangoproject.com/weblog/2020/feb/03/security-releases/

https://cve.mitre.org/cgi-bin/cvename.cgi?name= CVE-2020-7471

 

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA20-00132-01