← voltar
CVE-2022-41323

CVE-2022-41323

CVSS 7.5 HIGHEPSS 2.7%CWE-1333
Em resumo

O Django tinha uma falha nas URLs internacionalizadas onde o parâmetro de idioma era processado como expressão regular, permitindo que atacantes causassem negação de serviço enviando valores malformados que consumiriam recursos excessivos do servidor.

Detalhe técnico

Uma vulnerabilidade de negação de serviço por expressão regular (ReDoS) existe no tratamento de internacionalização de URLs do Django, onde parâmetros de locale fornecidos pelo usuário são compilados como padrões regex sem validação apropriada. Um atacante não autenticado pode enviar strings de locale maliciosas para provocar backtracking catastrófico, esgotando recursos de CPU e indisponibilizando a aplicação.

Resumo gerado e traduzido por IA a partir da descrição oficial.
In Django 3.2 before 3.2.16, 4.0 before 4.0.8, and 4.1 before 4.1.2, internationalized URLs were subject to a potential denial of service attack via the locale parameter, which is treated as a regular expression.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Produtos afetados
n/a · n/a

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://docs.djangoproject.com/en/4.0/releases/security/https://github.com/django/django/commit/5b6b257fa7ec37ff27965358800c67e2dd11c924https://groups.google.com/forum/#%21forum/django-announcehttps://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/FKYVMMR7RPM6AHJ2SBVM2LO6D3NGFY7B/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/HWY6DQWRVBALV73BPUVBXC3QIYUM24IK/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/LTZVAKU5ALQWOKFTPISE257VCVIYGFQI/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/VZS4G6NSZWPTVXMMZHJOJVQEPL3QTO77/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/YJB6FUBBLVKKG655UMTLQNN6UQ6EDLSP/https://security.netapp.com/advisory/ntap-20221124-0001/https://www.djangoproject.com/weblog/2022/oct/04/security-releases/