Django Software Foundation ha publicado nuevas versiones de las ramas [ 1.4; 1.5; 1.6 beta ] de Django, que solucionan dos vulnerabilidades que permitirían ataques de tipo cross-site scripting.
Django es un entorno de desarrollo de código abierto basado en Python para el desarrollo de sitios web siguiendo el patrón Modelo Vista Controlador. Publicado en 2005 por vez primera, con versión última estable la 1.5 y encontrándose la 1.6 en fase de desarrollo.
Versiones afectadas
- La primera vulnerabilidad afecta a las ramas [1.5 y 1.6]. Y fue descubierta por Łukasz Langa.
- La segunda vulnerabilidad afecta a las ramas [1.4; 1.5; 1.6] y fue descubierta por Nick Bruun.
Impacto de las vulnerabilidades
- La primera de las vulnerabilidades se sitúa en la interfaz de administración. Y podría permitir realizar ataques cross-site scripting. El problema aunque aparece principalmente en el sitio de administración, puede extenderse a cualquier parte del sitio que haga uso de los widgets que éste provee.
- La segunda vulnerabilidad está localizada en el sistema 'POST-redirect-GET'. El fallo podría permitir potencialmente un ataque cross-site scripting, aunque no se ha descubierto de momento un método de explotación.
Recomendación
- Se recomienda a los usuarios que actualicen a las versiones 1.4.6, 1.5.2 y 1.6 beta 2.
- Las actualizaciones están disponibles a través del repositorio PyPi o la página oficial de Django.
- Security releases issued https://www.djangoproject.com/weblog/2013/aug/13/security-releases-issued/
- Denegaciones de servicio y cross-site scripting en Django http://unaaldia.hispasec.com/2012/08/denegaciones-de-servicio-y-cross-site.html
Fuente: Hispasec
