2020-1212: Django: Mehrere Schwachstellen ermöglichen u. a. das Umgehen von Sicherheitsvorkehrungen

Historie:

Version 1 (2020-06-12 09:48)

Neues Advisory

Version 2 (2020-06-18 19:32)

Für Fedora EPEL 8 steht ein Sicherheitsupdate im Status 'testing' bereit, mit dem die Schwachstellen in 'python-django' adressiert werden. Die betroffene Software wird damit auf Version 2.2.13 aktualisiert.

Betroffene Software

Entwicklung
Server

Betroffene Plattformen

Linux

Beschreibung:

Mehrere Schwachstellen ermöglichen einem entfernten Angreifer das Umgehen von Sicherheitsvorkehrungen, wodurch in der Folge beliebiger SQL-Programmcode ausgeführt werden kann, das Ausspähen von Informationen und die Durchführung eines Cross-Site-Scripting (XSS)-Angriffs. Zur erfolgreichen Ausnutzung einer der Schwachstellen sind Benutzerrechte nötig. Ein erfolgreicher XSS-Angriff erfordert eine Interaktion durch einen Benutzer der Software.

Für Fedora 31 und 32 stehen Sicherheitsupdates in Form der Pakete 'python-django-2.2.13-1.fc31' und 'python-django-3.0.7-1.fc32' im Status 'testing' zur Behebung der Schwachstellen zur Verfügung.

Schwachstellen:

CVE-2020-13254

Schwachstelle in Django ermöglicht Ausspähen von Informationen

CVE-2020-13596

Schwachstelle in Django ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-7471

Schwachstelle in Django ermöglicht SQL-Injektion

CVE-2020-9402

Schwachstelle in Django ermöglicht SQL-Injektion

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.