Unicorn добавляет современную функциональность реактивных компонентов в ваши шаблоны Django. До версии 0.67.0 манипулирование состоянием компонента возможно в django-unicorn из-за отсутствия проверок контроля доступа во время обновления свойств и вызовов методов. Злоумышленник может обойти предусмотренную защиту _is_public для изменения внутренних атрибутов, таких как template_name, или запуска защищенных методов.
Эта уязвимость исправлена в версии 0.67.0.
Показать оригинальное описание (EN)
Unicorn adds modern reactive component functionality to your Django templates. Prior to 0.67.0, component state manipulation is possible in django-unicorn due to missing access control checks during property updates and method calls. An attacker can bypass the intended _is_public protection to modify internal attributes such as template_name or trigger protected methods. This vulnerability is fixed in 0.67.0.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Django-Unicorn Unicorn
cpe:2.3:a:django-unicorn:unicorn:*:*:*:*:*:django:*:*
|
— |
0.67.0
|