Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-11394

Опубликовано: 28 нояб. 2024
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость функции strip_tags() модуля django.utils.html программной платформы для веб-приложений Django связана с неограниченным распределением ресурсов в результате некорректного экранирования HTML-символов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании путем отправки специально созданных HTML-сущностей

Вендор

Novell Inc.
Canonical Ltd.
Сообщество свободного программного обеспечения
ООО «Ред Софт»
Red Hat Inc.
Django Software Foundation
АО "НППКТ"

Наименование ПО

openSUSE Tumbleweed
Ubuntu
Debian GNU/Linux
РЕД ОС
Red Hat Discovery
Red Hat Ansible Automation Platform
SUSE Linux Enterprise Module for Package Hub
OpenSUSE Leap
Django
ОСОН ОСнова Оnyx

Версия ПО

- (openSUSE Tumbleweed)
20.04 LTS (Ubuntu)
16.04 ESM (Ubuntu)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
7.3 (РЕД ОС)
22.04 LTS (Ubuntu)
- (Red Hat Discovery)
2 (Red Hat Ansible Automation Platform)
18.04 ESM (Ubuntu)
1.2 (Red Hat Ansible Automation Platform)
15 SP6 (SUSE Linux Enterprise Module for Package Hub)
24.04 LTS (Ubuntu)
15.6 (OpenSUSE Leap)
24.10 (Ubuntu)
2.4 for RHEL 8 (Red Hat Ansible Automation Platform)
2.4 for RHEL 9 (Red Hat Ansible Automation Platform)
от 5.1 до 5.1.4 (Django)
от 5.0 до 5.0.10 (Django)
от 4.2 до 4.2.17 (Django)
2.5 for RHEL 8 (Red Hat Ansible Automation Platform)
2.5 for RHEL 9 (Red Hat Ansible Automation Platform)
до 2.13 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем
Сетевое программное средство

Операционные системы и аппаратные платформы

Novell Inc. openSUSE Tumbleweed -
Canonical Ltd. Ubuntu 20.04 LTS
Canonical Ltd. Ubuntu 16.04 ESM
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «Ред Софт» РЕД ОС 7.3
Canonical Ltd. Ubuntu 22.04 LTS
Canonical Ltd. Ubuntu 18.04 ESM
Canonical Ltd. Ubuntu 24.04 LTS
Novell Inc. OpenSUSE Leap 15.6
Canonical Ltd. Ubuntu 24.10
АО "НППКТ" ОСОН ОСнова Оnyx до 2.13

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Django:
https://www.djangoproject.com/weblog/2024/dec/04/security-releases/
https://docs.djangoproject.com/en/dev/releases/security/
https://docs.djangoproject.com/en/dev/releases/4.2.17/
https://docs.djangoproject.com/en/dev/releases/5.0.10/
https://docs.djangoproject.com/en/dev/releases/5.1.4/
https://github.com/django/django/commit/790eb058b0716c536a2f2e8d1c6d5079d776c22b
https://github.com/django/django/commit/a5a89ea28cc550c1b29b03f9e14ef3c128ec1e84
https://github.com/django/django/commit/bbc74a7f7eb7335e913bdb4787f22e83a9be947e
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2024-53907
Для Ubuntu:
https://ubuntu.com/security/notices/USN-7136-2
https://ubuntu.com/security/notices/USN-7136-1
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-53907
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2024-53907.html
Компенсирующие меры:
- использование систем обнаружения и предотвращения вторжений с целью выявления и реагирования на попытки эксплуатации уязвимости;
- использование средств межсетевого экранирования уровня веб-приложений для предотвращения попыток эксплуатации уязвимости;
- использование «белого» списка IP-адресов для ограничения возможности подключения недоверенных пользователей к административным интерфейсам платформы и базы данных.
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Обновление программного обеспечения python-django до версии 2:2.2.28-1~deb11u6

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 27%
0.00092
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

redos логотип

ROS-20250127-01

CVSS3: 9.1
redos
5 месяцев назад

Множественные уязвимости python3-django

ubuntu логотип

CVE-2024-53907

CVSS3: 7.5
ubuntu
6 месяцев назад

An issue was discovered in Django 5.1 before 5.1.4, 5.0 before 5.0.10, and 4.2 before 4.2.17. The strip_tags() method and striptags template filter are subject to a potential denial-of-service attack via certain inputs containing large sequences of nested incomplete HTML entities.

redhat логотип

CVE-2024-53907

CVSS3: 6.5
redhat
7 месяцев назад

An issue was discovered in Django 5.1 before 5.1.4, 5.0 before 5.0.10, and 4.2 before 4.2.17. The strip_tags() method and striptags template filter are subject to a potential denial-of-service attack via certain inputs containing large sequences of nested incomplete HTML entities.

nvd логотип

CVE-2024-53907

CVSS3: 7.5
nvd
6 месяцев назад

An issue was discovered in Django 5.1 before 5.1.4, 5.0 before 5.0.10, and 4.2 before 4.2.17. The strip_tags() method and striptags template filter are subject to a potential denial-of-service attack via certain inputs containing large sequences of nested incomplete HTML entities.

debian логотип

CVE-2024-53907

CVSS3: 7.5
debian
6 месяцев назад

An issue was discovered in Django 5.1 before 5.1.4, 5.0 before 5.0.10, ...

EPSS

Процентиль: 27%
0.00092
Низкий

7.5 High

CVSS3

7.8 High

CVSS2