Unicorn добавляет современную функциональность реактивных компонентов в ваши шаблоны Django. До версии 0.67.0 манипулирование состоянием компонента возможно в django-unicorn из-за отсутствия проверок контроля доступа во время обновления свойств и вызовов методов. Злоумышленник может обойти предусмотренную защиту _is_public для изменения внутренних атрибутов, таких как template_name, или запуска защищенных методов.
Эта уязвимость исправлена в версии 0.67.0.
Показать оригинальное описание (EN)
Unicorn adds modern reactive component functionality to your Django templates. Prior to 0.67.0, component state manipulation is possible in django-unicorn due to missing access control checks during property updates and method calls. An attacker can bypass the intended _is_public protection to modify internal attributes such as template_name or trigger protected methods. This vulnerability is fixed in 0.67.0.
Характеристики атаки
Последствия
Строка CVSS v3.1