Se han detectado dos vulnerabilidades de severidad crítica en el framework web Django. Estas vulnerabilidades permitirían inyecciones SQL y ataques DoS.
Productos Afectados
Django 5.1.X – Versiones anteriores a 5.1.4
Django 5.0.X – Versiones anteriores a 5.0.10
Django 4.2.X – Versiones anteriores a 4.2.17
Impacto
Las vulnerabilidades se identifican como:
CVE-2024-53907: Puntuación CVSS 9.8. Una vulnerabilidad en el método strip_tags() y el filtro striptags permitiría a un atacante realizar un ataque tipo Denial of Service (DoS) a través de entradas maliciosas.
CVE-2024-53908: Puntuación CVSS 9.1. Una vulnerabilidad en la búsqueda django.db.models.fields.json.HasKey permitiría a un atacante realizar inyecciones SQL.
Recomendación
Actualizar los productos afectados a la última versión disponible desde la web oficial del fabricante.
Referencias
https://www.djangoproject.com/weblog/2024/dec/04/security-releases/
https://www.tenable.com/cve/CVE-2024-53907
https://www.tenable.com/cve/CVE-2024-53908