Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-07168

Опубликовано: 23 июн. 2024
Источник: fstec
CVSS3: 5.3
CVSS2: 5
EPSS Низкий

Описание

Уязвимость метода django.contrib.auth.backends.ModelBackend.authenticate() программной платформы для веб-приложений Django связана с недостаточной защитой служебных данных в результате расхождения во времени. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации

Вендор

Django Software Foundation

Наименование ПО

Django

Версия ПО

от 5.0 до 5.0.7 (Django)
от 4.2 до 4.2.14 (Django)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://docs.djangoproject.com/en/dev/releases/security/
https://www.djangoproject.com/weblog/2024/jul/09/security-releases/
https://github.com/django/django/releases/tag/5.0.7
https://github.com/django/django/releases/tag/4.2.14
https://github.com/django/django/commit/156d3186c96e3ec2ca73b8b25dc2ef366e38df14
https://github.com/django/django/commit/07cefdee4a9d1fcd9a3a631cbd07c78defd1923b

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 26%
0.00088
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2024-39329

CVSS3: 5.3
ubuntu
11 месяцев назад

An issue was discovered in Django 5.0 before 5.0.7 and 4.2 before 4.2.14. The django.contrib.auth.backends.ModelBackend.authenticate() method allows remote attackers to enumerate users via a timing attack involving login requests for users with an unusable password.

redhat логотип

CVE-2024-39329

CVSS3: 3.7
redhat
12 месяцев назад

An issue was discovered in Django 5.0 before 5.0.7 and 4.2 before 4.2.14. The django.contrib.auth.backends.ModelBackend.authenticate() method allows remote attackers to enumerate users via a timing attack involving login requests for users with an unusable password.

nvd логотип

CVE-2024-39329

CVSS3: 5.3
nvd
11 месяцев назад

An issue was discovered in Django 5.0 before 5.0.7 and 4.2 before 4.2.14. The django.contrib.auth.backends.ModelBackend.authenticate() method allows remote attackers to enumerate users via a timing attack involving login requests for users with an unusable password.

debian логотип

CVE-2024-39329

CVSS3: 5.3
debian
11 месяцев назад

An issue was discovered in Django 5.0 before 5.0.7 and 4.2 before 4.2. ...

github логотип

GHSA-x7q2-wr7g-xqmf

CVSS3: 5.3
github
11 месяцев назад

Django vulnerable to user enumeration attack

EPSS

Процентиль: 26%
0.00088
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2