El equipo de Django, uno de los frameworks de desarrollo web más utilizados a
nivel global, lanzó el 4 de diciembre de 2024 actualizaciones de seguridad
críticas para resolver dos vulnerabilidades detectadas en versiones recientes
del framework.
Las vulnerabilidades recientemente identificadas impactan las versiones más
populares de Django, incluyendo tanto versiones de soporte extendido como
lanzamientos recientes, están comprometidas: Django 4.2, Django 5.0 y Django
5.1.
Estas vulnerabilidades podrían comprometer la seguridad de aplicaciones web al
permitir ataques como la inyección de SQL y la denegación de servicio (DoS).
-
CVE-2024-53907: Denegación de servicio en django.utils.html.strip_tags().
Esta vulnerabilidad afecta la función strip_tags(), utilizada
comúnmente para eliminar etiquetas HTML de texto ingresado por los usuarios.
Un atacante podría explotar esta función enviando datos especialmente
diseñados para desencadenar un bucle infinito o un consumo excesivo de
recursos, provocando la caída del sistema o una ralentización crítica. -
CVE-2024-53908: Inyección SQL en HasKey(lhs, rhs) cuando se utiliza Oracle como base de
datos.
La segunda vulnerabilidad afecta el operador HasKey en consultas ORM,
técnica que permite a los desarrolladores interactuar con bases de datos
relacionales usando código orientado a objetos en lugar de consultas SQL
directas. Un atacante podría explotar esta vulnerabilidad para inyectar
código SQL malicioso, obteniendo acceso no autorizado a datos sensibles o
alterando la integridad de la base de datos. Dado que el ORM de Django
abstrae las consultas SQL, esta vulnerabilidad es especialmente peligrosa
porque podría pasar desapercibida para los desarrolladores que confían
plenamente en la seguridad de esta capa.
Para mitigar estas vulnerabilidades, el equipo de Django ha desarrollado
parches que solucionen los problemas. Se recomienda actualizar a las
siguientes versiones inmediatamente:
- Django 4.2 > Django 4.2.10
- Django 5.0 > Django 5.0.3
- Django 5.1 > Django 5.1.1
Los desarrolladores deben tomar acción inmediata para proteger sus
aplicaciones:Actualizar Django: Instalar las versiones parcheadas (4.2.10,
5.0.3 o 5.1.1) según la rama utilizada.
-
Auditar dependencias: Verificar que otras dependencias relacionadas con
Django estén actualizadas para evitar posibles conflictos. -
Revisar implementaciones: Analizar el uso de strip_tags() y consultas
con el operador HasKey para identificar posibles exposiciones antes
de la actualización.
Fuente:
Django