GHSA-x7q2-wr7g-xqmf

Опубликовано: 10 июл. 2024

Источник: github

Github: Прошло ревью

CVSS4: 6.9

CVSS3: 5.3

Описание

Django vulnerable to user enumeration attack

An issue was discovered in Django 5.0 before 5.0.7 and 4.2 before 4.2.14. The django.contrib.auth.backends.ModelBackend.authenticate() method allows remote attackers to enumerate users via a timing attack involving login requests for users with an unusable password.

Ссылки

Пакеты

Наименование

Django

pip

Затронутые версииВерсия исправления

>= 5.0, < 5.0.7

5.0.7

Наименование

Django

pip

Затронутые версииВерсия исправления

>= 4.2, < 4.2.14

4.2.14

EPSS

Процентиль: 26%

0.00088

Низкий

6.9 Medium

CVSS4

5.3 Medium

CVSS3

CVE ID

CVE-2024-39329

Дефекты

CWE-208

Связанные уязвимости

CVE-2024-39329

CVSS3: 5.3

ubuntu

11 месяцев назад

An issue was discovered in Django 5.0 before 5.0.7 and 4.2 before 4.2.14. The django.contrib.auth.backends.ModelBackend.authenticate() method allows remote attackers to enumerate users via a timing attack involving login requests for users with an unusable password.

CVE-2024-39329

CVSS3: 3.7

redhat

11 месяцев назад

CVE-2024-39329

CVSS3: 5.3

nvd

11 месяцев назад

CVE-2024-39329

CVSS3: 5.3

debian

11 месяцев назад

An issue was discovered in Django 5.0 before 5.0.7 and 4.2 before 4.2. ...

BDU:2024-07168

CVSS3: 5.3

fstec

12 месяцев назад

Уязвимость метода django.contrib.auth.backends.ModelBackend.authenticate() программной платформы для веб-приложений Django, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

EPSS

Процентиль: 26%

0.00088

Низкий

6.9 Medium

CVSS4

5.3 Medium

CVSS3

CVE ID

CVE-2024-39329

Дефекты

CWE-208