Проблема была обнаружена в версиях 5.2 до 5.2.9, 5.1 до 5.1.15 и 4.2 до 4.2.27. Алгоритмическая сложность в django.core.serializers.xml_serializer.getInnerText() позволяет удаленному злоумышленнику вызвать потенциальную атаку типа «отказ в обслуживании», вызывающую истощение процессора и памяти, посредством специально созданного XML-входа, обработанного XML-десериализатором. Ранее неподдерживаемые серии Django (например, 5.0.x, 4.1.x и 3.2.x) не оценивались и также могут быть затронуты. Джанго хотел бы поблагодарить Сокчана Юна за сообщение об этой проблеме.
Показать оригинальное описание (английский)
An issue was discovered in 5.2 before 5.2.9, 5.1 before 5.1.15, and 4.2 before 4.2.27. Algorithmic complexity in `django.core.serializers.xml_serializer.getInnerText()` allows a remote attacker to cause a potential denial-of-service attack triggering CPU and memory exhaustion via specially crafted XML input processed by the XML `Deserializer`. Earlier, unsupported Django series (such as 5.0.x, 4.1.x, and 3.2.x) were not evaluated and may also be affected. Django would like to thank Seokchan Yoon for reporting this issue.
Матрица атаки
СТРОКА CVSS ВЕКТОРА
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Тип уязвимости (CWE)
Уязвимые продукты
Известные затронутые конфигурации ПО
| Конфигурация | От (включительно) | До (не включая) |
|---|---|---|
|
cpe:2.3:a:djangoproject:django:*:*:*:*:*:*:*:*
Djangoproject:Django
|
4.2 | 4.2.27 |
|
cpe:2.3:a:djangoproject:django:*:*:*:*:*:*:*:*
Djangoproject:Django
|
5.1 | 5.1.15 |
|
cpe:2.3:a:djangoproject:django:*:*:*:*:*:*:*:*
Djangoproject:Django
|
5.2 | 5.2.9 |