← voltar
CVE-2024-39614

CVE-2024-39614

CVSS 7.5 HIGHEPSS 30.1%CWE-130
Em resumo

A função de detecção de idioma do Django pode ser sobrecarregada por strings muito longas com caracteres específicos, tornando a aplicação lenta ou indisponível. Atacantes conseguem interromper o serviço sem precisar de permissões especiais.

Detalhe técnico

A função get_supported_language_variant() no Django 5.0 (<5.0.7) e 4.2 (<4.2.14) é vulnerável a ataques de negação de serviço quando processa strings excessivamente longas contendo padrões de caracteres específicos. O ataque não requer autenticação e pode ser disparado através de entradas de preferência de idioma, resultando em esgotamento de CPU e indisponibilidade do serviço.

Resumo gerado e traduzido por IA a partir da descrição oficial.
An issue was discovered in Django 5.0 before 5.0.7 and 4.2 before 4.2.14. get_supported_language_variant() was subject to a potential denial-of-service attack when used with very long strings containing specific characters.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Produtos afetados
n/a · n/a

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://docs.djangoproject.com/en/dev/releases/security/https://groups.google.com/forum/#%21forum/django-announcehttps://security.netapp.com/advisory/ntap-20240808-0005/https://www.djangoproject.com/weblog/2024/jul/09/security-releases/