Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-12661

Опубликовано: 01 окт. 2025
Источник: fstec
CVSS3: 3.1
CVSS2: 2.1
EPSS Низкий

Описание

Уязвимость функции django.utils.archive.extract() программной платформы для веб-приложений Django связана с ошибками механизма обработки относительного пути к каталогу. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти ограничения безопасности

Вендор

ООО «Ред Софт»
Django Software Foundation

Наименование ПО

РЕД ОС
Django

Версия ПО

7.3 (РЕД ОС)
от 4.2 до 4.2.25 (Django)
от 5.1 до 5.1.13 (Django)
от 5.2 до 5.2.7 (Django)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3

Уровень опасности уязвимости

Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 2,1)
Низкий уровень опасности (базовая оценка CVSS 3.1 составляет 3,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://www.djangoproject.com/weblog/2025/oct/01/security-releases
Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-python3-django-cve-2025-59681-cve-2025-59682/?sphrase_id=1345258

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 10%
0.00036
Низкий

3.1 Low

CVSS3

2.1 Low

CVSS2

Связанные уязвимости

redos логотип

ROS-20251106-04

CVSS3: 7.1
redos
около 1 месяца назад

Множественные уязвимости python3-django

ubuntu логотип

CVE-2025-59682

CVSS3: 3.1
ubuntu
3 месяца назад

An issue was discovered in Django 4.2 before 4.2.25, 5.1 before 5.1.13, and 5.2 before 5.2.7. The django.utils.archive.extract() function, used by the "startapp --template" and "startproject --template" commands, allows partial directory traversal via an archive with file paths sharing a common prefix with the target directory.

nvd логотип

CVE-2025-59682

CVSS3: 3.1
nvd
3 месяца назад

An issue was discovered in Django 4.2 before 4.2.25, 5.1 before 5.1.13, and 5.2 before 5.2.7. The django.utils.archive.extract() function, used by the "startapp --template" and "startproject --template" commands, allows partial directory traversal via an archive with file paths sharing a common prefix with the target directory.

debian логотип

CVE-2025-59682

CVSS3: 3.1
debian
3 месяца назад

An issue was discovered in Django 4.2 before 4.2.25, 5.1 before 5.1.13 ...

github логотип

GHSA-q95w-c7qg-hrff

CVSS3: 3.1
github
3 месяца назад

Django vulnerable to partial directory traversal via archives

EPSS

Процентиль: 10%
0.00036
Низкий

3.1 Low

CVSS3

2.1 Low

CVSS2