• +54 (011) 4323-9362
  • |
  • de Lun a Vie de 9 a 17 hs
  • |
  • ciberseguridad@ba-csirt.gob.ar

############################
|A|L|E|R|T|A|S| |B|A|-|C|S|I|R|T|
############################

Actualización de seguridad para el panel de administración de Django

05/06/2019

=============================================
ACTUALIZACIÓN
Fecha de lanzamiento: 04/06/2019
Gravedad: Alta
=============================================

VULNERABILIDAD

La vulnerabilidad, de tipo XSS, afecta a la validación del campo URL usado en los formularios del admin

INFORMACIÓN

Django es un framework de código abierto basado en Python para el desarrollo de sitios web siguiendo el patrón MVC (Modelo-Vista-Controlador). Fue publicado por primera vez en 2005, y desde entonces su uso ha experimentado un considerable crecimiento entre los desarrolladores. Se compone de una serie de herramientas para facilitar la creación de páginas Web, siguiendo las directrices 'DRY' (Do not repeat yourself – No se repita) evitando redundancias de código y consecuentemente reduciendo tiempo y esfuerzo.

DESCRIPCIÓN

El equipo de Django ha publicado una actualización de seguridad que corrige una vulnerabilidad en el componente ‘AdminURLFieldWidget’ del admin. Este componente es utilizado para la construcción de los campos url de los formularios del modo edición.

La vulnerabilidad identificada como CVE-2019-12308 consiste en la falta de validación de la url introducida en dicho campo, la cual permitiría la explotación de un ataque XSS. Un atacante podría introducir una URL maliciosa a través de este campo u otro vulnerable del sitio web para que se renderice el enlace con el XSS.

Para su explotación se requiere que un usuario que pertenezca al staff (es decir, con acceso al admin) acceda a la edición del registro con la URL maliciosa y haga clic en el enlace adjunto al campo. Con el parche incluido, ahora el campo verifica si la URL es maliciosa al validar el formulario, e impide el renderizado de las URL sospechosas ya existentes.

SISTEMAS AFECTADOS

Las versiones de Django que han recibido este parche de seguridad son la 2.2.2, la 2.1.9 y la 1.11.21. La versión 2.0.x no ha recibido este parche al haber terminado su soporte en abril de este año. La versión 1.11.x seguirá recibiendo este y otros parches de seguridad hasta abril del año que viene al ser una LTS, debiendo el resto de versiones afectadas actualizar o aplicar el parche por su cuenta.

Además, esta actualización de seguridad corrige la vulnerabilidad CVE-2019-11358 en jQuery que afectaba al método ‘jQuery.extend’, el cual no estaba en uso pero podría utilizarse más adelante, o podría estar usándose por módulos de terceros.

SOLUCIÓN

Se recomienda actualizar a la brevedad

FUENTE

https://hispasec.com/es/