ASA-2019-00311 – Django: Poluição de prototype no jQuery


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00311

Identificador(es)

ASA-2019-00311, CVE-2019-11358

Título

Poluição de prototype no jQuery

Fabricante(s)

Django Software Foundation

Produto(s)

Django

Versão(ões) afetada(s)

Django 2.2 versão anterior a 2.2.2
Django 2.1 versão anterior a 2.1.9

Versão(ões) corrigida(s)

Django 2.2.2
Django 2.1.9

Prova de conceito

Desconhecida

Descrição

jQuery anterior a versão 3.4.0, gerencia incorretamente jQuery.extend (true, {}, …) por causa da poluição do Object.prototype. Se um objeto de origem não limpo contivesse uma enumerável __proto__property, ele poderia estender o Object.prototype nativo.

A versão empacotada do jQuery usada pelo administrador do Django foi corrigida para permitir o uso de jQuery.extend() da select2library.

Detalhes técnicos

Desconhecido

Créditos

Desconhecido

Referência(s)

Django security releases issued: 2.2.2, 2.1.9 and 1.11.21
https://www.djangoproject.com/weblog/2019/jun/03/security-releases/

Applied jQuery patch for CVE-2019-11358
https://github.com/django/django/commit/34ec52269ade54af31a021b12969913129571a3f

[2.2.x] Applied jQuery patch for CVE-2019-11358
https://github.com/django/django/commit/baaf187a4e354bf3976c51e2c83a0d2f8ee6e6ad

[2.1.x] Applied jQuery patch for CVE-2019-11358
https://github.com/django/django/commit/95649bc08547a878cebfa1d019edec8cb1b80829

ASA-2019-00224 – JQUERY: VULNERABILIDADE DE POLUIÇÃO DE OBJECT PROTOTYPE
https://allelesecurity.com.br/asa-2019-00224/

Django: CVE-2019-12308 AdminURLFieldWidget XSS (plus patched bundled jQuery for CVE-2019-11358)
https://seclists.org/oss-sec/2019/q2/138

CVE-2019-11358
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11358

CVE-2019-11358
https://nvd.nist.gov/vuln/detail/CVE-2019-11358

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 3 junho 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.