Nivel de criticidad: ALTO
- CVE-2019-14234. Se ha detectado una vulnerabilidad en Django, entorno de trabajo (framework) web para python preinstalado en Debian. El fallo afecta a la función QuerySet.filter() del componente Shallow Key Transformation. Un atacante podría realizar una inyección SQL a través de la manipulación del input OR 1=1.
La base de datos del NIST ha otorgado a la vulnerabilidad una puntuación de 7.5 según la escala CVSSv2. Esto es debido a que el fallo es explotable de forma remota, con una complejidad baja, no es requerida autenticación alguna y un ataque exitoso tendría una repercusión parcial. Hasta el momento no se han detectado exploits que permitan a los atacantes aprovechar esta vulnerabilidad ni actividad en la red relacionada.
Recursos afectados:
La vulnerabilidad afecta a:
- Django:
- Versiones 1.11 (incluida) hasta 1.11.23 (excluida)
- Versiones 2.1 (incluida) hasta 2.1.11 (excluida)
- Versiones 2.2 (incluida) hasta 2.2.4 (excluida)
- Fedora versión 30
- Debian:
- Versión 9.0
- Versión 10.0
Solución a la vulnerabilidad:
El fabricante ha solucionado la vulnerabilidad a través de las versiones que se muestran a continuación:
Asimismo, Debian ha lanzado un aviso con las correspondientes soluciones para solucionar la vulnerabilidad:
- Para la distribución «antigua estable» (stretch), este problema se ha corregido en la versión 1: 1.10.7-2 + deb9u6.
- Para la distribución «estable» (buster), este problema se ha corregido en la versión 1: 1.11.23-1 ~ deb10u1.
Recomendaciones:
El CERT de Entelgy Innotec Security recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.
Por el momento, no se han detectado medidas de mitigación alternativas para solucionar la vulnerabilidad.
Referencias: