Django Releases Patches for CVE-2024-53907 and CVE-2024-53908 to Mitigate DoS and SQLi Threats
2024/12/05 SecurityOnline — Django に存在するセキュリティ脆弱性 CVE-2024-53907/CVE-2024-53908 が、バージョン 5.1.4/5.0.10/4.2.17 のリリースにより修正された。ユーザーに対して推奨されるのは、最新のセキュリティ・アップデートを、可能な限り早急にインストールすることだ。
CVE-2024-53907:DoS (Denial-of-Service) 脆弱性
DoS の脆弱性であり、django.utils.html.strip_tags() メソッドと striptags テンプレート・フィルタに存在する。Django の勧告によると、この脆弱性は、深くネストされた不完全な HTML エンティティを取り込んだ、特定の入力に起因するものであり、深刻度は moderate に分類されている。
CVE-2024-53908:SQL インジェクション脆弱性
SQL インジェクション脆弱性であり、Oracle データベース上の django.db.models.fields.json.HasKey ルックアップに影響を及ぼす。Django の勧告には、「Oracle における django.db.models.fields.json.HasKey ルックアップのダイレクトな使用は、信頼できないデータが lhs 値として使用された場合において、SQL インジェクションの対象となる可能性がある。ただし、jsonfield.has_key ルックアップを “_ _ ” 構文で使用するアプリケーションには影響しない」と記されている。この脆弱性の深刻度は、High に分類されている。
影響を受けるバージョンと解決策
この脆弱性は、以下のバージョンの Django に影響を与える:
- Django main
- Django 5.1
- Django 5.0
- Django 4.2
脆弱性 CVE-2024-53907/CVE-2024-53908 に対応するパッチは、main/5.1/5.0/4.2 ブランチに適用するものだ。それぞれのパッチは、公式セキュリティ勧告で提供されている、チェンジ・セットから入手できる。
これらの脆弱性によるリスクを軽減するため、Django チームがすべてのユーザーに対して推奨するのは、最新のバージョンへの速やかなアップデートである。
Django の2つの脆弱性が FIX しました。ご利用のチームは、ご注意ください。どちらの脆弱性も CVSS 値が記載されいないので、NVD で調べてみたところ、CVE-2024-53907 (CVSS:7.5)/CVE-2024-53908 (CVSS:9.8) となっていました。よろしければ、2024/08/09「Django の脆弱性 CVE-2024-42005 (CVSS 9.8) などが FIX:直ちにアップデートを!」を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.