← volver
CVE-2022-41323

CVE-2022-41323

CVSS 7.5 HIGHEPSS 2.7%CWE-1333
En resumen

Django tenía una falla en las URLs internacionalizadas donde el parámetro de idioma se procesaba como una expresión regular, permitiendo que atacantes causaran denegación de servicio enviando valores malformados que consumirían recursos excesivos del servidor.

Detalle técnico

Existe una vulnerabilidad de denegación de servicio por expresión regular (ReDoS) en el manejo de internacionalización de URLs de Django, donde los parámetros de locale suministrados por el usuario se compilan como patrones regex sin validación adecuada. Un atacante no autenticado puede enviar strings de locale maliciosas para provocar retroceso catastrófico, agotando recursos de CPU e indisponibilizando la aplicación.

Resumen generado y traducido por IA a partir de la descripción oficial.
In Django 3.2 before 3.2.16, 4.0 before 4.0.8, and 4.1 before 4.1.2, internationalized URLs were subject to a potential denial of service attack via the locale parameter, which is treated as a regular expression.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Productos afectados
n/a · n/a

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://docs.djangoproject.com/en/4.0/releases/security/https://github.com/django/django/commit/5b6b257fa7ec37ff27965358800c67e2dd11c924https://groups.google.com/forum/#%21forum/django-announcehttps://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/FKYVMMR7RPM6AHJ2SBVM2LO6D3NGFY7B/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/HWY6DQWRVBALV73BPUVBXC3QIYUM24IK/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/LTZVAKU5ALQWOKFTPISE257VCVIYGFQI/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/VZS4G6NSZWPTVXMMZHJOJVQEPL3QTO77/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/YJB6FUBBLVKKG655UMTLQNN6UQ6EDLSP/https://security.netapp.com/advisory/ntap-20221124-0001/https://www.djangoproject.com/weblog/2022/oct/04/security-releases/