Проблема была обнаружена в версиях 5.2 до 5.2.9, 5.1 до 5.1.15 и 4.2 до 4.2.27. Алгоритмическая сложность в django.core.serializers.xml_serializer.getInnerText() позволяет удаленному злоумышленнику вызвать потенциальную атаку типа «отказ в обслуживании», вызывающую истощение процессора и памяти, посредством специально созданного XML-входа, обработанного XML-десериализатором. Ранее неподдерживаемые серии Django (например, 5.0.x, 4.1.x и 3.2.x) не оценивались и также могут быть затронуты.
Джанго хотел бы поблагодарить Сокчана Юна за сообщение об этой проблеме.
Показать оригинальное описание (EN)
An issue was discovered in 5.2 before 5.2.9, 5.1 before 5.1.15, and 4.2 before 4.2.27. Algorithmic complexity in `django.core.serializers.xml_serializer.getInnerText()` allows a remote attacker to cause a potential denial-of-service attack triggering CPU and memory exhaustion via specially crafted XML input processed by the XML `Deserializer`. Earlier, unsupported Django series (such as 5.0.x, 4.1.x, and 3.2.x) were not evaluated and may also be affected. Django would like to thank Seokchan Yoon for reporting this issue.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 3
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Djangoproject Django
cpe:2.3:a:djangoproject:django:*:*:*:*:*:*:*:*
|
4.2
|
4.2.27
|
|
Djangoproject Django
cpe:2.3:a:djangoproject:django:*:*:*:*:*:*:*:*
|
5.1
|
5.1.15
|
|
Djangoproject Django
cpe:2.3:a:djangoproject:django:*:*:*:*:*:*:*:*
|
5.2
|
5.2.9
|