En los últimos días se hizo pública, a través de un reporte en Red Hat Bugzilla, una vulnerabilidad descubierta por el investigador de seguridad Borja Tarrasa que podría permitir realizar ataques de tipo Cross-site Scripting (XSS) en Django.
Esta vulnerabilidad, clasificada en el informe como de riesgo medio y etiquetada con el identificador CVE-2020-25626, afecta a versiones anteriores a la 3.11.2 y 3.12.0 de Django REST Framework, un conjunto de herramientas que permite el desarrollo de APIs web en este software de código abierto.
En concreto, puede producirse al utilizar la API navegable de Django REST Framework debido a que al usarla en las versiones afectadas, no se filtran correctamente ciertos parámetros proporcionados por el usuario. Esto podría permitir a un atacante inyectar etiquetas maliciosas y, de esta forma, explotar la vulnerabilidad XSS de manera remota sin necesidad de autenticación.
Algunas versiones afectadas:
- cpe:/a:encode:django-rest-framework:3.11.1:
- cpe:/a:encode:django-rest-framework:3.11.0:
- cpe:/a:encode:django-rest-framework:3.10.3:
- cpe:/a:encode:django-rest-framework:3.10.2:
- cpe:/a:encode:django-rest-framework:3.10.1:
- cpe:/a:encode:django-rest-framework:3.10.0:
- cpe:/a:encode:django-rest-framework:3.9.4:
- cpe:/a:encode:django-rest-framework:3.9.3:
- cpe:/a:encode:django-rest-framework:3.9.2:
- cpe:/a:encode:django-rest-framework:3.9.1:
- cpe:/a:encode:django-rest-framework:3.9.0:
Django ha procedido a lanzar el parche de seguridad que, como ellos mismos indican en las notas adjuntas a las actualizaciones, elimina la vulnerabilidad XSS en algunos tipos de contenido de la API navegable. Por lo que es recomendable actualizar a las versiones 3.11.2 y 3.12.0 disponibles en su página oficial, cuanto antes.
Más información:
Django Rest Framework Release Notes
https://www.django-rest-framework.org/community/release-notes/#312x-series
Red Hat Bugzilla – Bug 1878635
https://bugzilla.redhat.com/show_bug.cgi?id=1878635
Django-rest-framework: XSS Vulnerability in API viewer
https://www.cybersecurity-help.cz/vdb/SB2020100114
Comentarios recientes