GHSA-9jmf-237g-qf46

Опубликовано: 10 июл. 2024

Источник: github

Github: Прошло ревью

CVSS4: 8.7

CVSS3: 7.5

Описание

Django Path Traversal vulnerability

An issue was discovered in Django 5.0 before 5.0.7 and 4.2 before 4.2.14. Derived classes of the django.core.files.storage.Storage base class, when they override generate_filename() without replicating the file-path validations from the parent class, potentially allow directory traversal via certain inputs during a save() call. (Built-in Storage sub-classes are unaffected.)

Ссылки

Пакеты

Наименование

Django

pip

Затронутые версииВерсия исправления

>= 5.0, < 5.0.7

5.0.7

Наименование

Django

pip

Затронутые версииВерсия исправления

>= 4.2, < 4.2.14

4.2.14

EPSS

Процентиль: 15%

0.0005

Низкий

8.7 High

CVSS4

7.5 High

CVSS3

CVE ID

CVE-2024-39330

Дефекты

CWE-22

Связанные уязвимости

CVE-2024-39330

CVSS3: 4.3

ubuntu

11 месяцев назад

An issue was discovered in Django 5.0 before 5.0.7 and 4.2 before 4.2.14. Derived classes of the django.core.files.storage.Storage base class, when they override generate_filename() without replicating the file-path validations from the parent class, potentially allow directory traversal via certain inputs during a save() call. (Built-in Storage sub-classes are unaffected.)

CVE-2024-39330

CVSS3: 4.3

redhat

11 месяцев назад

CVE-2024-39330

CVSS3: 4.3

nvd

11 месяцев назад

CVE-2024-39330

CVSS3: 4.3

debian

11 месяцев назад

An issue was discovered in Django 5.0 before 5.0.7 and 4.2 before 4.2. ...

BDU:2024-07170

CVSS3: 5.5

fstec

12 месяцев назад

Уязвимость функции generate_filename() класса django.core.files.storage.Storage программной платформы для веб-приложений Django, позволяющая нарушителю записывать произвольные файлы

EPSS

Процентиль: 15%

0.0005

Низкий

8.7 High

CVSS4

7.5 High

CVSS3

CVE ID

CVE-2024-39330

Дефекты

CWE-22