For the English version of this alert, click here.
Allele Security Alert
ASA-2019-00311
Identificador(es)
ASA-2019-00311, CVE-2019-11358
Título
Poluição de prototype no jQuery
Fabricante(s)
Django Software Foundation
Produto(s)
Django
Versão(ões) afetada(s)
Django 2.2 versão anterior a 2.2.2
Django 2.1 versão anterior a 2.1.9
Versão(ões) corrigida(s)
Django 2.2.2
Django 2.1.9
Prova de conceito
Desconhecida
Descrição
jQuery anterior a versão 3.4.0, gerencia incorretamente jQuery.extend (true, {}, …) por causa da poluição do Object.prototype. Se um objeto de origem não limpo contivesse uma enumerável __proto__property, ele poderia estender o Object.prototype nativo.
A versão empacotada do jQuery usada pelo administrador do Django foi corrigida para permitir o uso de jQuery.extend() da select2library.
Detalhes técnicos
Desconhecido
Créditos
Desconhecido
Referência(s)
Django security releases issued: 2.2.2, 2.1.9 and 1.11.21
https://www.djangoproject.com/weblog/2019/jun/03/security-releases/
Applied jQuery patch for CVE-2019-11358
https://github.com/django/django/commit/34ec52269ade54af31a021b12969913129571a3f
[2.2.x] Applied jQuery patch for CVE-2019-11358
https://github.com/django/django/commit/baaf187a4e354bf3976c51e2c83a0d2f8ee6e6ad
[2.1.x] Applied jQuery patch for CVE-2019-11358
https://github.com/django/django/commit/95649bc08547a878cebfa1d019edec8cb1b80829
ASA-2019-00224 – JQUERY: VULNERABILIDADE DE POLUIÇÃO DE OBJECT PROTOTYPE
https://allelesecurity.com.br/asa-2019-00224/
Django: CVE-2019-12308 AdminURLFieldWidget XSS (plus patched bundled jQuery for CVE-2019-11358)
https://seclists.org/oss-sec/2019/q2/138
CVE-2019-11358
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11358
CVE-2019-11358
https://nvd.nist.gov/vuln/detail/CVE-2019-11358
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 3 junho 2019