9VSA20-00152-01 CSIRT comparte actualización de Django
CSIRT comparte información obtenida del sitio oficial de Django, referente a una vulnerabilidad que afecta a su marco de desarrollo web.
Resumen
El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT, comparte información obtenida del sitio oficial de Django, referente a una vulnerabilidad que afecta a su marco de desarrollo web, la cual permitiría a un atacante remoto realizar inyecciones SQL. Este informe incluye su respectiva mitigación.
Vulnerabilidad
CVE-2020-9402
Impacto
Un atacante remoto podría realizar inyecciones SQL en la base de datos de Django, permitiéndole leer, modificar, agregar y eliminar datos de esta y comprometiéndola completamente. Esta vulnerabilidad existe debido a la insuficiente sanitización de los datos entregados por el usuario si es que datos no confiables son utilizados como parámetro de confianza en funciones y agregados de GIS en Oracle.
Producto Afectado
Django 3.0.x, 2.2.x y 1.11.x.
Mitigación
Para la versión 1.11.x, actualizar a la versión 1.11.29.
Para la versión 2.2.x, actualizar a la versión 2.2.11.
Para la versión 3.0.x, actualizar a la versión 3.0.4.
Enlaces
https://www.djangoproject.com/weblog/2020/mar/04/security-releases/
https://docs.djangoproject.com/en/3.0/releases/security/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9402
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA20-00152-01