9VSA20-00152-01 CSIRT comparte actualización de Django

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT, comparte información obtenida del sitio oficial de Django, referente a una vulnerabilidad que afecta a su marco de desarrollo web, la cual permitiría a un atacante remoto realizar inyecciones SQL. Este informe incluye su respectiva mitigación.

Vulnerabilidad

CVE-2020-9402

Impacto

Un atacante remoto podría realizar inyecciones SQL en la base de datos de Django, permitiéndole leer, modificar, agregar y eliminar datos de esta y comprometiéndola completamente. Esta vulnerabilidad existe debido a la insuficiente sanitización de los datos entregados por el usuario si es que datos no confiables son utilizados como parámetro de confianza en funciones y agregados de GIS en Oracle.

Producto Afectado

Django 3.0.x, 2.2.x y 1.11.x.

Mitigación

Para la versión 1.11.x, actualizar a la versión 1.11.29.

Para la versión 2.2.x, actualizar a la versión 2.2.11.

Para la versión 3.0.x, actualizar a la versión 3.0.4.

Enlaces

https://www.djangoproject.com/weblog/2020/mar/04/security-releases/

https://docs.djangoproject.com/en/3.0/releases/security/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9402

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA20-00152-01