El equipo de Django, uno de los frameworks de desarrollo web más utilizados a nivel global, lanzó el 4 de diciembre de 2024 actualizaciones de seguridad críticas para resolver dos vulnerabilidades detectadas en versiones recientes del framework.

Las vulnerabilidades recientemente identificadas impactan las versiones más populares de Django, incluyendo tanto versiones de soporte extendido como lanzamientos recientes, están comprometidas: Django 4.2, Django 5.0 y Django 5.1. 

Estas vulnerabilidades podrían comprometer la seguridad de aplicaciones web al permitir ataques como la inyección de SQL y la denegación de servicio (DoS).

• CVE-2024-53907: Denegación de servicio en django.utils.html.strip_tags(). Esta vulnerabilidad afecta la función strip_tags(), utilizada comúnmente para eliminar etiquetas HTML de texto ingresado por los usuarios. Un atacante podría explotar esta función enviando datos especialmente diseñados para desencadenar un bucle infinito o un consumo excesivo de recursos, provocando la caída del sistema o una ralentización crítica.
• CVE-2024-53908: Inyección SQL en HasKey(lhs, rhs) cuando se utiliza Oracle como base de datos. La segunda vulnerabilidad afecta el operador HasKey en consultas ORM, técnica que permite a los desarrolladores interactuar con bases de datos relacionales usando código orientado a objetos en lugar de consultas SQL directas. Un atacante podría explotar esta vulnerabilidad para inyectar código SQL malicioso, obteniendo acceso no autorizado a datos sensibles o alterando la integridad de la base de datos. Dado que el ORM de Django abstrae las consultas SQL, esta vulnerabilidad es especialmente peligrosa porque podría pasar desapercibida para los desarrolladores que confían plenamente en la seguridad de esta capa.

Para mitigar estas vulnerabilidades, el equipo de Django ha desarrollado parches que solucionen los problemas. Se recomienda actualizar a las siguientes versiones inmediatamente:

• Django 4.2 > Django 4.2.10
• Django 5.0 > Django 5.0.3
• Django 5.1 > Django 5.1.1

Los desarrolladores deben tomar acción inmediata para proteger sus aplicaciones:Actualizar Django: Instalar las versiones parcheadas (4.2.10, 5.0.3 o 5.1.1) según la rama utilizada.

• Auditar dependencias: Verificar que otras dependencias relacionadas con Django estén actualizadas para evitar posibles conflictos.
• Revisar implementaciones: Analizar el uso de strip_tags() y consultas con el operador HasKey para identificar posibles exposiciones antes de la actualización.

Fuente: Django

Vía:

https://blog.segu-info.com.ar/2024/12/actualizaciones-criticas-en-django.html