Se han identificado dos vulnerabilidades importantes en una herramienta popular utilizada para desarrollar sitios web llamada Django. Estas vulnerabilidades podrían permitir a atacantes malintencionados dañar el funcionamiento de las aplicaciones o acceder a datos confidenciales si no se corrigen a tiempo.
- CVE-2024-53907: Problema de rendimiento en una función (Denegación de Servicio) una de las funciones más utilizadas en Django, llamada strip_tags(), es responsable de eliminar etiquetas HTML del texto que los usuarios envían. Sin embargo, si un atacante envía datos maliciosos, puede hacer que esta función entre en un ciclo sin fin, agotando los recursos del servidor y causando que el sistema se caiga o se vuelva muy lento. Este problema es más grave en sitios con mucho tráfico o que reciben grandes cantidades de datos.
- CVE-2024-53908: Riesgo de acceso no autorizado a la base de datos (Inyección SQL): esta vulnerabilidad permite a los atacantes modificar la base de datos de un sitio web. Usando una técnica llamada «inyección SQL», pueden hacer que el sistema ejecute comandos maliciosos para acceder a datos privados o alterar la información. Este tipo de ataque es peligroso porque podría pasar desapercibido, ya que Django utiliza un sistema que simplifica las consultas a la base de datos.
Producto y versiones afectadas:
Las siguientes versiones de Django contienen las vulnerabilidades descritas:
- Django 4.2
- Django 5.0
- Django 5.1
Solución:
Las versiones de Django corregidas, que ya contienen los parches de seguridad necesarios, son:
- Django 4.2.10
- Django 5.0.3
- Django 5.1.1
Recomendaciones:
- Actualizar Django a una de las versiones seguras mencionadas.
- Verificar que las herramientas y bibliotecas relacionadas con Django también estén actualizadas
- Inspeccionar el uso de la función strip_tags() y las consultas a la base de datos que puedan estar vulnerables a inyección SQL.
Referencias:
- https://unaaldia.hispasec.com/2024/12/django-emite-actualizacion-critica-por-vulnerabilidades-de-seguridad-en-diciembre-2024.html
- https://securityonline.info/django-releases-patches-for-cve-2024-53907-and-cve-2024-53908-to-mitigate-dos-and-sqli-threats/
- https://www.djangoproject.com/weblog/2024/dec/04/security-releases/