ASA-2019-00310 – Django: Cross-Site Scripting (XSS) em AdminURLFieldWidget 

Publicado em por Allele Security Intelligence em Alertas

For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00310

Identificador(es)

ASA-2019-00310, CVE-2019-12308

Título

Cross-Site Scripting (XSS) em AdminURLFieldWidget

Fabricante(s)

Django Software Foundation

Produto(s)

Django

Versão(ões) afetada(s)

Django 2.2 versão anterior a 2.2.2
Django 2.1 versão anterior a 2.1.9
Django 1.11 versão anterior a 1.11.21

Versão(ões) corrigida(s)

Django 2.2.2
Django 2.1.9
Django 1.11.21

Prova de conceito

Desconhecida

Descrição

O link “URL atual” clicável gerado por AdminURLFieldWidget exibia o valor fornecido sem validá-lo como uma URL segura. Assim, um valor não validado armazenado no banco de dados, ou um valor fornecido como payload do parâmetro de consulta de URL, pode resultar em um link JavaScript clicável.

O AdminURLFieldWidget agora valida o valor fornecido usando o URLValidator antes de exibir o link clicável. Você pode personalizar o validador passando um kwarg validator_class para AdminURLFieldWidget.__init__(), por exemplo, ao usar ModelAdmin.formfield_overrides.

Detalhes técnicos

Desconhecido

Créditos

Desconhecido

Referência(s)

Django security releases issued: 2.2.2, 2.1.9 and 1.11.21
https://www.djangoproject.com/weblog/2019/jun/03/security-releases/

Fixed CVE-2019-12308 — Made AdminURLFieldWidget validate URL before rendering clickable link – master branch
https://github.com/django/django/commit/deeba6d92006999fee9adfbd8be79bf0a59e8008

Fixed CVE-2019-12308 — Made AdminURLFieldWidget validate URL before rendering clickable link – 2.2 release branch
https://github.com/django/django/commit/afddabf8428ddc89a332f7a78d0d21eaf2b5a673

Fixed CVE-2019-12308 — Made AdminURLFieldWidget validate URL before rendering clickable link – 2.1 release branch
https://github.com/django/django/commit/09186a13d975de6d049f8b3e05484f66b01ece62

Fixed CVE-2019-12308 — Made AdminURLFieldWidget validate URL before rendering clickable link – 1.11 release branch
https://github.com/django/django/commit/c238701859a52d584f349cce15d56c8e8137c52b

Django: CVE-2019-12308 AdminURLFieldWidget XSS (plus patched bundled jQuery for CVE-2019-11358)
https://seclists.org/oss-sec/2019/q2/138

CVE-2019-12308
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12308

CVE-2019-12308
https://nvd.nist.gov/vuln/detail/CVE-2019-12308

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 3 junho 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.