← voltar
CVE-2023-36053

CVE-2023-36053

CVSS 7.5 HIGHEPSS 2.7%CWE-1333
Em resumo

Os validadores de email e URL do Django podem travar ou consumir muita CPU quando recebem nomes de domínio muito longos com muitos rótulos, permitindo que um atacante desative a aplicação.

Detalhe técnico

EmailValidator e URLValidator do Django utilizam expressões regulares vulneráveis a backtracking catastrófico ao processar URLs ou emails com numerosos rótulos de domínio. Um atacante pode enviar entradas com estruturas de domínio muito grandes para provocar correspondência exponencial na regex, causando negação de serviço sem necessidade de autenticação.

Resumo gerado e traduzido por IA a partir da descrição oficial.
In Django 3.2 before 3.2.20, 4 before 4.1.10, and 4.2 before 4.2.3, EmailValidator and URLValidator are subject to a potential ReDoS (regular expression denial of service) attack via a very large number of domain name labels of emails and URLs.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Produtos afetados
n/a · n/a

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://docs.djangoproject.com/en/4.2/releases/security/https://groups.google.com/forum/#%21forum/django-announcehttps://lists.debian.org/debian-lts-announce/2023/07/msg00022.htmlhttps://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/NRDGTUN4LTI6HG4TWR3JYLSFVXPZT42A/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/XG5DYKPNDCEHJQ3TKPJQO7QGSR4FAYMS/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/ZQJOMNRMVPCN5WMIZ7YSX5LQ7IR2NY4D/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ZQJOMNRMVPCN5WMIZ7YSX5LQ7IR2NY4D/https://www.debian.org/security/2023/dsa-5465https://www.djangoproject.com/weblog/2023/jul/03/security-releases/