ASA-2019-00002 – Django: Possibilidade de falsificação de conteúdo na página 404 padrão


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00002

Identificador(es)

ASA-2019-00002, CVE-2019-3498

Título

Possibilidade de falsificação de conteúdo na página 404 padrão

Fabricante(s)

Django Software Foundation

Produto(s)

Django

Versão(ões) afetada(s)

Django 2.1
Django 2.0
Django 1.11

Versão(ões) corrigida(s)

Django 1.11.18
Django 2.0.10
Django 2.1.5

Prova de conceito

Desconhecida

Descrição

Um atacante pode criar uma URL mal-intencionada que possa fazer com que conteúdo falsificado apareça na página padrão gerada pela visualização django.views.defaults.page_not_found().

Detalhes técnicos

Desconhecido

Créditos

Jerbi Nessim e Tom Hacohen (tasn)

Referência(s)

Django security releases issued: 2.1.5, 2.0.10, and 1.11.18
https://seclists.org/oss-sec/2019/q1/23

Django security releases issued: 2.1.5, 2.0.10, and 1.11.18
https://www.djangoproject.com/weblog/2019/jan/04/security-releases/

Fixed #30070 — Fixed content spoofing possiblity in the default 404 page. #10809
https://github.com/django/django/pull/10809

Content spoofing possiblity in default 404 page
https://code.djangoproject.com/ticket/30070

Fixed #30070, CVE-2019-3498 — Fixed content spoofing possiblity in the default 404 page.
https://github.com/django/django/commit/1ecc0a395be721e987e8e9fdfadde952b6dee1c7

CVE-2019-3498
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-3498

CVE-2019-3498
https://nvd.nist.gov/vuln/detail/CVE-2019-3498

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 4 janeiro 2019