El investigador de seguridad Borja Tarrasa ha hecho público a través de un boletín de Red Hat Bugzilla un fallo de seguridad, para el cual un atacante podría realizar ataques de tipo Cross-site Scripting (XSS) en Django.
Esta vulnerabilidad, que afecta a versiones anteriores a la 3.11.2 y 3.12.0 de Django REST Framework, es etiquetada con el identificador CVE-2020-25626. Django REST Framework un conjunto de herramientas que permite el desarrollo de APIs web en este software de código abierto. Al utilizar la API navegable de Django REST Framework en las versiones afectadas no se filtran correctamente ciertos parámetros proporcionados por el usuario, esto podría permitir a un atacante inyectar etiquetas maliciosas y, de esta forma, explotar la vulnerabilidad XSS de manera remota sin necesidad de autenticación.
Algunas de las versiones afectadas son las siguientes.
- cpe:/a:encode:django-rest-framework:3.11.1:
- cpe:/a:encode:django-rest-framework:3.11.0:
- cpe:/a:encode:django-rest-framework:3.10.3:
- cpe:/a:encode:django-rest-framework:3.10.2:
- cpe:/a:encode:django-rest-framework:3.10.1:
- cpe:/a:encode:django-rest-framework:3.10.0:
- cpe:/a:encode:django-rest-framework:3.9.4:
- cpe:/a:encode:django-rest-framework:3.9.3:
- cpe:/a:encode:django-rest-framework:3.9.2:
- cpe:/a:encode:django-rest-framework:3.9.1:
- cpe:/a:encode:django-rest-framework:3.9.0:
Se recomienda actualizar a la brevedad posible a las versiones 3.11.2 y 3.12.0 disponibles en su página oficial.
Referencia:
- https://unaaldia.hispasec.com/2020/10/vulnerabilidad-xss-en-django-rest-framework.html
- https://www.django-rest-framework.org/community/release-notes/#312x-series
- https://access.redhat.com/security/cve/cve-2020-25626
- https://bugzilla.redhat.com/show_bug.cgi?id=1878635
- https://www.cybersecurity-help.cz/vdb/SB2020100114