For the English version of this alert, click here.
Allele Security Alert
ASA-2019-00310
Identificador(es)
ASA-2019-00310, CVE-2019-12308
Título
Cross-Site Scripting (XSS) em AdminURLFieldWidget
Fabricante(s)
Django Software Foundation
Produto(s)
Django
Versão(ões) afetada(s)
Django 2.2 versão anterior a 2.2.2
Django 2.1 versão anterior a 2.1.9
Django 1.11 versão anterior a 1.11.21
Versão(ões) corrigida(s)
Django 2.2.2
Django 2.1.9
Django 1.11.21
Prova de conceito
Desconhecida
Descrição
O link “URL atual” clicável gerado por AdminURLFieldWidget exibia o valor fornecido sem validá-lo como uma URL segura. Assim, um valor não validado armazenado no banco de dados, ou um valor fornecido como payload do parâmetro de consulta de URL, pode resultar em um link JavaScript clicável.
O AdminURLFieldWidget agora valida o valor fornecido usando o URLValidator antes de exibir o link clicável. Você pode personalizar o validador passando um kwarg validator_class para AdminURLFieldWidget.__init__(), por exemplo, ao usar ModelAdmin.formfield_overrides.
Detalhes técnicos
Desconhecido
Créditos
Desconhecido
Referência(s)
Django security releases issued: 2.2.2, 2.1.9 and 1.11.21
https://www.djangoproject.com/weblog/2019/jun/03/security-releases/
Fixed CVE-2019-12308 — Made AdminURLFieldWidget validate URL before rendering clickable link – master branch
https://github.com/django/django/commit/deeba6d92006999fee9adfbd8be79bf0a59e8008
Fixed CVE-2019-12308 — Made AdminURLFieldWidget validate URL before rendering clickable link – 2.2 release branch
https://github.com/django/django/commit/afddabf8428ddc89a332f7a78d0d21eaf2b5a673
Fixed CVE-2019-12308 — Made AdminURLFieldWidget validate URL before rendering clickable link – 2.1 release branch
https://github.com/django/django/commit/09186a13d975de6d049f8b3e05484f66b01ece62
Fixed CVE-2019-12308 — Made AdminURLFieldWidget validate URL before rendering clickable link – 1.11 release branch
https://github.com/django/django/commit/c238701859a52d584f349cce15d56c8e8137c52b
Django: CVE-2019-12308 AdminURLFieldWidget XSS (plus patched bundled jQuery for CVE-2019-11358)
https://seclists.org/oss-sec/2019/q2/138
CVE-2019-12308
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12308
CVE-2019-12308
https://nvd.nist.gov/vuln/detail/CVE-2019-12308
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 3 junho 2019