Проблема была обнаружена в версиях 6.0 до 6.0.2, 5.2 до 5.2.11 и 4.2 до 4.2.28. Функция django.contrib.auth.handlers.modwsgi.check_password() для аутентификации через mod_wsgi позволяет удаленным злоумышленникам перебирать пользователей с помощью временной атаки. Ранее неподдерживаемые серии Django (например, 5.0.x, 4.1.x и 3.2.x) не оценивались и также могут быть затронуты.
Django благодарит Stackered за сообщение об этой проблеме.
Показать оригинальное описание (EN)
An issue was discovered in 6.0 before 6.0.2, 5.2 before 5.2.11, and 4.2 before 4.2.28. The `django.contrib.auth.handlers.modwsgi.check_password()` function for authentication via `mod_wsgi` allows remote attackers to enumerate users via a timing attack. Earlier, unsupported Django series (such as 5.0.x, 4.1.x, and 3.2.x) were not evaluated and may also be affected. Django would like to thank Stackered for reporting this issue.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 3
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Djangoproject Django
cpe:2.3:a:djangoproject:django:*:*:*:*:*:*:*:*
|
4.2
|
4.2.28
|
|
Djangoproject Django
cpe:2.3:a:djangoproject:django:*:*:*:*:*:*:*:*
|
5.2
|
5.2.11
|
|
Djangoproject Django
cpe:2.3:a:djangoproject:django:*:*:*:*:*:*:*:*
|
6.0
|
6.0.2
|