Проблема была обнаружена в версиях 6.0 до 6.0.3, 5.2 до 5.2.12 и 4.2 до 4.2.29. Состояние гонки в хранилище файловой системы и файловом кэше в Django позволяет злоумышленнику создавать объекты файловой системы с неправильными разрешениями посредством одновременных запросов, когда временное изменение `umask` одного потока влияет на другие потоки в многопоточных средах. Ранее неподдерживаемые серии Django (например, 5.0.x, 4.1.x и 3.2.x) не оценивались и также могут быть затронуты.
Джанго хотел бы поблагодарить Тарека Наккоуча за сообщение об этой проблеме.
Показать оригинальное описание (EN)
An issue was discovered in 6.0 before 6.0.3, 5.2 before 5.2.12, and 4.2 before 4.2.29. Race condition in file-system storage and file-based cache backends in Django allows an attacker to cause file system objects to be created with incorrect permissions via concurrent requests, where one thread's temporary `umask` change affects other threads in multi-threaded environments. Earlier, unsupported Django series (such as 5.0.x, 4.1.x, and 3.2.x) were not evaluated and may also be affected. Django would like to thank Tarek Nakkouch for reporting this issue.
Характеристики атаки
Последствия
Строка CVSS v3.1